ラベル サーバ管理 の投稿を表示しています。 すべての投稿を表示
ラベル サーバ管理 の投稿を表示しています。 すべての投稿を表示

2014/03/19

WindowsServer 2008 のタスクスケジューラで 2147943645 エラーでタスク起動不良

ここんとこ、Windowsサーバと格闘しておりました。


デイリーのバックアップ用のジョブをタスクスケジューラ上で作成して、
テスト実行すると問題なく起動するくせに、いざとなったらエラーが出ている。

タスクスケジューラは、ユーザー "<ユーザ名>" の "\<タスク名>" タスクを開始できませんでした。追加データ エラー値: 2147943645

なんじゃこれー。

…と思ったら、ユーザがログインしていない場合にジョブが実行できないとのこと。

ということで、ジョブのプロパティ内にある
  • ユーザがログオンしているかどうかにかかわらず実行する
にチェックを入れればOKというお話でした。


勝手に入れられたタスクジョブの実行回避というセキュリティ上の話からだと思うけど、
ログインしっぱなしというのは逆にセキュリティ的におかしくないすかね。

「タスクの実行時に使うユーザアカウント」情報を保持している割に
ログオン時のみ実行がデフォルトってのもなんだかなぁ、と思うのですが。。。

さらにはコンフィグミスで発生しうる内容なんだからコード返答じゃなくて
ちゃんと発生した事由を喋ってくれよー……と。


75%ほど愚痴でしたw

2014/02/13

ntpdに気をつけれ、と さくらVPSからメールが来た の巻。

一応JPCERT/CCから1/15にメールが来てて個人的には対策済みなんですが、
念の為のチェック&啓蒙ということで。

■問題の概要

詳細は下記の情報を見ると良いですが、
ntpdの一部バージョンには状況確認用コマンド(monlist)が用意されていて、
これが外部から呼ばれると、かなりのトラフィックを発生させるので
DDoSに使われるよ、という話。

ふだん利用している さくらインターネット 様からも注意喚起メールが今日届きました。


■何が問題なのか

monlistの機能的には、対象ntpサーバが最近通信をした相手をリストアップする機能。

試しにmonlistを有効にした状態で以下のようなコマンドを叩いてみる。

# ntpdc -c monlist

remote address          port local address      count m ver rstr avgint  lstint
===============================================================================
ntp-b3.nict.go.jp        123 4x.xxx.xx.xx3          6 4 4    180      1       1
ntp-b2.nict.go.jp        123 4x.xxx.xx.xx3          6 4 4    180      2       2
ntp-a3.nict.go.jp        123 4x.xxx.xx.xx3          6 4 4    180      2       3
ntp-a2.nict.go.jp        123 4x.xxx.xx.xx3          6 4 4    180      2       4
うちのVPSではNICTのNTPサーバを見ているのでリストアップされます。
ntpdのrestrict設定(+Firewall)で他には通信しないようにしているので、
これ以外はリストされないようになってます。

ここで問題なのは、
  • 1コマンド&小さい通信量で簡単に取り出せる
  • 通信履歴がまるまる大公開
  • さらにリスト作成時にDNSで名前解決が走る(ntpdc -nなら抑制できるけど)
ということで、増幅率(きっかけコマンドに対して発生する無駄な通信量)が半端ねえ。

ぱないの!
…どころの話じゃないのです。忍ちゃんもびっくり。

■対策方法

ntpdのバージョンアップなんですが、影響を受けないバージョンは「4.2.7p26」。
しかし安定版は4.2.6であり、各distroでもまだ落ちてきてないバージョンかと。

そこで、monlist自体をストップしましょう。
ntpdの設定ファイルに「disable monitor」と1行追記。

※私の環境はDebian Wheezyです。

# vi /etc/ntp.conf
disable monitor    ←ファイル末尾にでも追記する

# /etc/init.d/ntp restart
 これで再度monlistを叩いてみると…
# ntpdc -c monlist
***Server reports data not found
問い合わせを無視するようになりました。これでOK。
外から確認したい場合は、 OpenNTPProject.org などを使用するといいかもです。


…というか、単発サーバで自前時刻合わせだったらntpd使わずntpdateを
slewモードを使ってcronで回すのも手です。


久々に奇声が漏れるレベルの増幅率ですので、早急に対処を。


2013/12/17

Zabbixを試してみる。(2)

未解決事項あるんだけど、まあ奮闘記っつーことで。


前のフォローアップ記事に書いたとおり、
Zabbix公式のubuntuリポジトリから2.2.1を取得。

Ubuntu公式のuniverseにいるZabbix 1.8では初期テンプレートに色々詰め込まれすぎてて、
テンプレ一から作らなきゃならなかったのがよりシンプルになってた!
(Linuxテンプレを使うとhttpdは当然ながら、SMTPやFTP、果てはNNTPまで動いていると仮定されててenableにした途端ちょうエラー)


設定要素

ほぼ自分の備忘録としてまとめときます。

●ホスト

監視対象となる機器の設定。これには下記の要素が存在する。
 
・アイテム
監視するサービスや着眼ポイントの設定。
例えば、pingの打ち方とか、拾ってくるデータの定義なんかをする。

・アプリケーション
アイテムをまとめて1つのまとまりとして定義。
CPUのLoad average(1,5,15)の各アイテムをまとめてCPU Load Avgというアプリに、みたいな。
若干自信なし。

・トリガー
各アイテムの結果を元にして「状況が変化した」という判断をする閾値や条件の設定。
これで各レベルの警報をraiseする感じですな。


●アクション

で、raiseされたレベルによって「アクション」が発生する。
重要度の低いのは一般へメール、致命的なのは管理者にメール&Jabberみたいな。
アクション側では受けたトリガーレベルはもちろんのこと、元となってるテンプレや
ホストグループなんかも条件式に入れられるので、
「このシステムだけはこの人らにも」は容易に組めるわけですな。
NagiosでいうところのContactsあたりの設定。



んで、これらの設定を各ホストにいちいちやるのは面倒なので、
テンプレートという仕組みがある。

●テンプレート

要は上記のアイテムやアプリなんぞをまとめてひな形にしといて、
実際のホストを定義するときに使いまわしましょうや、という機構。

架空のホストを定義するような感じで設定しておいて、
実ホストを登録する際に「このテンプレートにリンク!」という感じ。

各ホストには複数のテンプレがリンクできるので、
「Linux基本監視」「Apache動かす用」「SQLサーバ動かす用」みたいに定義しておいて、
機能選択=テンプレ選択という感じにするのが解りやすいかと思われる。


●スクリーン

グラフとかの絵的な情報はグラフを各ホストに定義しても
Cactiのような一斉閲覧とかはできないっぽい。

じゃあどーするかというと、「スクリーン」というのを別途定義して
画面上に表示したいものを作るようだ。

スクリーンは
 ・表を作る
 ・各セルに突っ込みたいものを選択する
…という感じ。視覚的に非常に解りやすい。が、ちと重い。



▲現在の懸念(要追加調査)事項▲

・スクリーン設定時の縦横幅のデフォルト設定はないものか。
 (500×100がデフォのようだが、横1000はキツいので手打ちで400×100にしてる)

・ スイッチとかだと各I/Fのグラフをばばばばってスクリーンに自動登録してくれんもんやろか。

・各グラフのタイトルとか項目摘要名とかを手でいじれないものか。
 SWだと何がつながってるよーとかにしたい。あと、Unit/Slot/Portを短くしたい。

・他の設定項目はひとまずペンディングじゃー。



 ▲追加情報▲

SNMPホストを登録する際、もともと定義されているSNMP用テンプレの中身は
OID名が数字でなくてラベル名になっているので、snmp-mibs-downloader
パッケージをインストールしておかないと、「そんなOID知らん」って言われるかも。

# aptitude install snmp-mibs-downloader

2013/12/13

Zabbixを試してみる。(1) のフォローアップをしてみる。

昨日書いた Zabbixを試してみる。(1) の続きとゆーかフォローとゆーか訂正とゆーか。

コメントでいただき追記をした「Zabbix 2.x」の件。


なんで私がUbuntuのリポジトリに固執して
Zabbix公式から落とさなかったかとゆーと、
単にaptの管理下から離れちゃうのが嫌だったのです。

もちろんMLとかでpushをもらうようにはするんだけども、
セキュリティホールとかのアップデートのアンテナの張り出しは
ただでさえ多いのでできるだけ少なくしておきたかったの。

Zabbix公式のInstallation manual ですとwget & dpkg -iしろってことだったので
それなら自前debuildと変わらんやないかー、ということで。


これ、あくまで私の好みの問題でした。さーせん。



で、もうちょっと調べてみたらですな、
公式さんはちゃんとapt source repositoryになっとりました。

ので、早速ではございますが一度1.8をpurgeしました。

# vi /etc/apt/sources.list.d/zabbix2.0-precise.list

deb http://repo.zabbix.com/zabbix/2.2/ubuntu precise main

# wget http://repo.zabbix.com/zabbix-official-repo.key
# apt-key add zabbix-official-repo.key

# aptitude install zabbix-server-mysql zabbix-frontend-php


ちょっと幸せになりました。


# ただし、apt lineについて表立って書いてないってことは
# 突然のお取り潰しもあるかもなので、あくまで自己責任でー。



さて、構築しなおすー。


続き: Zabbixを試してみる。(2)

2013/12/12

Zabbixを試してみる。 (1)

いいかげん、NagiosとCactiに疲れてきた。
特にNagiosのコンフィグファイル修正が苦痛になってきた。UIでやりたい。

ので、 Zabbix を試すのであった。


私、最近はUbuntuとDebianを行ったり来たりしております。

以下はUbuntu 12.04 LTS Serverでのお話。
既に当該環境上ではApache2とMySQLが動作しております。


Zabbixインストール

aptitudeで簡単さん。
$ sudo aptitude install zabbix-agent zabbix-server-mysql zabbix-frontend-php
特に設定せず、 /zabbix/ でログイン可能。
初期IDは admin:zabbix 。
Cactiみたいに「初回ログイン時に強制パスワード変更」がないので注意。

[設定]-[ホスト]で監視対象となるノードを追加していく。

グラフの豆腐を何とかする

UIに関しては日本語ロケールが用意されているので楽。
が、グラフまわりで恐らく日本語を使用していて、文字化けというか豆腐が発生する。
豆腐解決前
とりあえず日本語フォント入れましょう。
今回はIPAフォントを選択。
$ sudo aptitude install fonts-ipafont
入れ終わったら、Zabbixに使用していただきたく設定。
/usr/share/zabbix/fonts に使用したいフォントのSymLinkを置く感じ。
root@test:/usr/share/zabbix/fonts# ls -al
合計 8
drwxr-xr-x  2 root root 4096 12月 12 13:05 .
drwxr-xr-x 10 root root 4096 12月 12 11:58 ..
lrwxrwxrwx  1 root root   46  4月 11  2012 DejaVuSans.ttf -> ../../fonts/truetype/ttf-dejavu/DejaVuSans.ttf

root@test:/usr/share/zabbix/fonts# ln -s /usr/share/fonts/opentype/ipafont-gothic/ipagp.ttf .

root@test:/usr/share/zabbix/fonts# ls -al
合計 8
drwxr-xr-x  2 root root 4096 12月 12 13:05 .
drwxr-xr-x 10 root root 4096 12月 12 11:58 ..
lrwxrwxrwx  1 root root   46  4月 11  2012 DejaVuSans.ttf -> ../../fonts/truetype/ttf-dejavu/DejaVuSans.ttf
lrwxrwxrwx  1 root root   50 12月 12 13:05 ipagp.ttf -> /usr/share/fonts/opentype/ipafont-gothic/ipagp.ttf
フォント設定は /usr/share/zabbix/include/defines.inc.php にある。
#       define('ZBX_GRAPH_FONT_NAME', 'DejaVuSans');  // font file name
        define('ZBX_GRAPH_FONT_NAME', 'ipagp');       // font file name
DejaVuをコメントアウトしてIPAゴシックを有効化。
リロードしてみると…
豆腐解消後
いえーい(横ピース)

ググったりするとalternativesを使えるらしいという話もあったのだが、
残念ながら現状Ubuntuのリポジトリにはalternativesはなかったです。



ひとまずここまで。
あとは使ってる間のTipsとかTrouble Shootingを随時書かせていただきやす。



【追記】
コメントで「ttf-vlgothicかotf-ipafont-gothicを入れておけば
defines.inc.phpの書き換え不要」という情報をいただいたので調査。

zabbix.com に置いてあるdebパッケージ(2.x)を使用する場合は、
ご指摘通りのフォントを突っ込んでおくとpostinstスクリプトで
ちゃんとsymlinkを作ってくれるので手間いらずの模様。

本日現在、Preciseのuniverseリポジトリでは1.8で、
残念ながらpostinstにはそのような仕組みは入ってなかったです。

zabbix.comから落としてきたdebパッケージを使用する場合は
aptitude install ttf-vlgothic(あるいは otf-ipafont-gothic)しとくと
幸せになれます。

# 既にzabbixをインストールした後で日本語フォントを入れた場合は
# dpkg-reconfigure zabbix-frontend-php で再設定を。

ご指摘ありがとうございました。


続き: Zabbixを試してみる。(1) のフォローアップをしてみる。