Комментарии 86
Скорее всего, так и есть. Для трудового договора обычное дело. Но, наверняка в компании есть аналитики или топы, которые могли бы оценить перспективы упаковки системы в продукт, если их заинтересовать. Безагентное решение тема интересная.
Так что — весь код лично Ваш.
На Хабре появляются юристы, думаю, они подтвердят мои слова.
За оригинальное решение, если-бы мог, то поставил Вам плюс. Хотя, с 2008 сервера Винда умеет пересылать свои журналы на один компьютер-сборщик. Так-что пробегать по всем серверам может и не надо.
Кроме этого, на события в журналах можно ставить обработчики и с их помощью так-же можно построить систему мониторинга (либо доработать Вашу, если у Вас сделано не так) и автоматизировать выполнение операций по обслуживанию.
с 2008 сервера Винда умеет пересылать свои журналы на один компьютер-сборщик
А где можно подробнее почитать, как это сделать? Насколько мне известно, система журналирования Windows сделана так, что прочитать (даже сохранённый, скопированный) журнал на другой машине — та ещё задача:
Если на другом компьютере не установлен аналогичный софт, то имеем ошибку:
Не удается найти описание для идентификатора события 1000 из источника VMware Tools. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.
Что сводит на нет всю идею резервирования журналов.
На мой взгляд надёжнее посылать журнал сразу в текстовом виде на linux-машину с rsyslog, может знаете какие решения?
Для самостоятельного чтения журналов Windows существуют сторонние программы которые находится очень быстро.
Резервирование журналов можно настроить нативно из встроенного средства просмотра событий. Там же можно настроить обработку возникших событий.
Если взять Ваш пример с VMware Tools, то можно написать обработчик, который установит недостающее при появлении события с кодом 1000 и источником «VMWare Tools». Скажу сразу, сам такую автоматизацию не делал, но вполне можно написать скрипт, посылающий уведомление админу и/или устанавливающий нужный софт. Придётся, правда, повозиться с отладкой скрипта, так как не всё однозначно и Майкрософт по-особому смотрит на внедряемые возможности.
Исключительное право на служебное произведение принадлежит работодателю, если трудовым или гражданско-правовым договором между работодателем и автором не предусмотрено иное.
Не совсем понял. То есть на каждом сервере стоит MSSQL, в котором запускаются эти вот процедуры?
Радуйтесь, что не Tivoli. )
Расскажите! Чтобы кто нибудь не ступил туда, как эта фирма в netIQ в свое время
Да особо и нечего рассказывать, был у нас один маленький, но гордый Zabbix, который всё всё мониторил, смски отправлял, графики/трэнды рисовал, завки в хэлпдеске создавал, и есть не просил. Но один эффективный менеджер сказал, что это не Энтерпрайз и теперь у нас вместо одного заббикса, комплекс из полусотни серверов, и по пять агентов на каждом сервере, и убогий джава клиент, которому нужен 3-d party агрегатор, чтобы рисовать адекватные графики. И само собой всё это стоит много денег. #IBM #кровавыйэнтерпрайз =(
А вот сложно не плеваться, на таком контрасте. Хотя ребята которые им занимаются (да-да, под это дело набрали спец. отдел) говорят, что скоро ITM обновится до 8-й версии (до этого был слух, что восьмёрку будут продавать как новый продукт) и станет выглядеть по человечески. Будем подождать. А вот Spectrum Control годная вещь, кстати.
1) Как я уже говорил сложность системы мониторинга и количество потребляемых ею ресурсов возросло в десять раз. Старая система — основной сервер + прокси для мониторинга фронтов снаружи = 2 виртуальные машины (суммарно 12 vCPU, 40GB RAM, 900GB диски). Новая система 24VM + 4 физических выноса в ЦОДах + тот же самый внешний проксик (суммарно 139vCPU 496GB RAM 3,08TB диски). Про пол-сотни это я конечно сгоряча, каюсь. По дискам конечно «всего» в три раза больше заббикса, но заббикс хранит год метрик по каждому айпишнику до которого смог дотянуться, включая сетевое оборудование, а у Тиволи вполне конкретные лицензионные ограничения по объектам мониторинга, поэтому он смотрит только на особо критичные системы.
2) Агенты: заббиксу вообще не нужны, если очень хочется, то один. Ест 6МБ памяти. Тиволи — агент нужен обязательно, в базовой комплектации три службы, 2 процесса жрут 80МБ памяти. На каждый чих (IIS, SQL, Exchange, AD и т.д. нужен дополнительный агент). Бонусом kq7client.exe рандомно начинает выжирать на 100% одно ядро, пока его не рестартанёшь. IBM говорит — это норма!
3) Гремучую кучу времени\денег которые были на него потрачены, можно было потратить с большей пользой. Например, завести отдел тестирования, и купить им инструменты для работы.
С точки зрения пользователя:
1) для тех, кто не видел посконный тиволёвый интерфейс вот. Дизайнерам интерфейсов с тонкой душевной организацией лучше не смотреть.
2) В заббиксе посмотреть график по любой метрике можно в пару кликов, в тиволи для этого приходится продираться через тормоза и условности устаревшего интерфейса, или платите миллион в год за 3th party рисовалку (сорян, не помню как называется, что-то отечественное), или пилите сами.
3) Также накидать графиков на дэшборд в заббиксе можно легко и непринуждённо, в тиволи это сложнейший квест, т.к. нужно выбирать из нескольких одинаково называющихся метрик, а потом хитро указывать диапазоны времени (на лету менять нельзя). Ну и в общем если нет админских прав, то это работа бессмысленная т.к. сохранять нельзя.
Я не говорю, что Тиволи не работает, я говорю, что он монструозен в лучших традициях энтерпрайз решений от IBM.
Кстати, что там по поводу thresholds? Мне кажетcя статические thresholds это чтото из 90х.
Что в интерпрайзе даже скорее плюс, так как вместе с лицензией вы получаете поддержку и делигирование части ответственности. С позиции менеджмента так лучше, даже если инженерам и кажется нецелесообразным.
Ресурсы — всё зависит от масштабов проекта и количества компонентов.
В «базовом варианте» для работы одного сервера хватит и одной VM с парой ядер и парой гигабайт памяти. Но кто же так делает в энтерпрайзе? :)
2) Тиволи тоже умеет в «безагентный» мониторинг, просто вы об этом не слышали. Вариантов опроса систем несколько, на любой вкус.
По поводу процесса — не буду гадать что там у вас, но стандартный watchdog ITM контролирует поведение агентов, в том числе их статус и утилизацию ресурсов. Попробуйте это настроить. И если не сложно дайте ссылку где IBM говорит, что это норма. Как-то верится с трудом.
3) То что у вас претензии как ваш роботодатель тратит его деньги вряд ли можно отнести к минусам продукта.
По «пользователю»:
1) Это интерфейс TEPS. Туда пользователи не ходят.
2) Пользуйтесь правильными инструментами для своих целей. Если вы пользуетесь TEPS для просмотра графиков, то конечно это будет не так красиво и удобно как в том же DASH.
3) См. п. 2)
Если вы занимаетесь Тиволи как инфраструктурщик, то очевидно вашему руководству стоило бы обучить сотрудников продукту вместе с внедрением.
Я не говорю, что не согласен с вашим мнением, но уверен, что вы его поменяете если лучше изучите продукт.
Напоминает мне моего соседа, когда он говорит про политику. =)
Мне как-то клиент Zabbix не давал обновить Exchange. И ещё несколько неприятных моментов было. Nagios, в любом случае, лучше.
Из опенсурсного, довольно объективно, ничего лучше Zabbix нет — его даже Яндекс взял в свое время, правда очень сильно оптимизировав под Oracle.
Nagios трогал в последний раз лет 10+ назад и больше не хочу. Возможно, конечно, он с тех пор стал лучше, но сомневаюсь.
Ну, это было тоже в районе 10 лет назад, с тех пор я подобным не занимался. Nagios просто надежный как кирпич, удобные текстовые конфиги. Свое дело делал неубиваемо.
«Прцесс такой-то не дает продолжить установку»
Думается что это не проблема Заббикса, а Эксченджа :)
Если она по какой-то причине не понравилась Эксченджу — это исключительно проблема последнего. У меня не было ни одной софтины, которая выказывала недовольство наличием службы Заббикса.
SQL SERVER работает под доменной учётной записью, у которой есть доступ по WMI к другим серверам?
Б — Безопасность. В данном случае непонятно как эти вопросы решались, либо всё “дыряво». Надеюсь эта учётная запись не является админской на всех серверах.
Претензии к MSSQL только в том, что если в нём выключен impersonate (а он отключается например, если у вас не windows-аутентификация, а sql-аутентификация), то это может плохо кончиться.
Блин, как же я радуюсь new relic + pager duty! Zabbix’у тоже радуюсь, но меньше! Автор, вы — молодец)
На что только не пойдут, лишь бы не использовать zabbix. И да. Б-безопасность. Учетка с неустареваюшим паролем и правами WMI и RPC. А-я-яй так делать. Не хватает коврика "добро пожаловать" перед КД. И ведь прочтает какой ни будь новичеки не один. И повторят, чего доброго.
А от кого вы защищаетесь? Все эти серверы внутри безопасного периметра и закрыты от интернета. А от внутренней обезьяны с гранатой это все равно не поможет. И таки да, агенты устанавливаются под специальными эккаунтами… по рекомендации Microsoft… И сертифицируются аудиторами для SSAE18 — типа все зашибись
С другой стороны, кого интересует, насколько вы РЕАЛЬНО защищены? Если у вас 10 эккаунтов с паролями разной длины, сложности и временем устаревания то все отлично — требования аудиторов выполнены! Ну а то что 95% людей будут эти пароли держать на листочках никого не интересует.
У аккаунтов пользователей нет прав на удаленное управление системой. Так что хоть 10, хоть 210, с этого вектора ничего сделать не смогут. А в вашем случае аккаунт с правами удаленного исполнения кода с неустаревающим паролем. Не есть хорошо. Заббикс поднимается за 2 часа + еще 30 минут на настройку обнаружения хостов. 15 мин на настройку ГПО. Через час у вас все ваши машинки в мониторинге. Все. И без ущерба корпоративной бещопасности. Я понимаю ваше негодование, вы изобрели велосипед, поделились плодами своего труда с сообществом, а тут в вас экскрементами кидаются. Приятного мало. Но и вы поймите, есть решение, фактически отраслевой стандарт — значит нужно пользоваться. Не умеете — значит нужно изучить и научиться, вы как профессионал, должны уметь пользоваться рабочими инструментами. Изобрели свой велосипед ради развлечения или попрактиковаться, тоже понимаю, сам так делаю, что бы не терять навыков. Но не надо публиковать в профильном сообществе и ждать восторга. Не оценят.
30 минут на настройку обнаружения и ГПО. Далее агент средствами ГПО сам разьедется по хостам а обнаружение найдет эти хосты и раскидает по группам в забиксе и навесит нужные шаблоны.
Знаю о чем говорю, потому как пол-года назад поднял таку же систему на пол-тысаче хостов за день.
Забавные истории у вас
Зачем нужно изобретение велосипеда, когда есть zabbix?
Как опыт конечно интересно, но… Кажется у вас было много свободного времени на работе))
Хотя мне до сих пор иногда и самому забавно, как в большой бюрократизированной компании можно «тихой сапой» протащить многие вещи.Так это исключительно потому, что не потребовалось ни копейки бюджетных денег. А ещё потому, что у вас была масса свободного времени и голова варит правильно.
SELECT * FROM dbo.GetChequesSql(...)
где GetChequesSql была реализованна на C# (да, можно на шарпе под TSQL кодить, но есть грабли). Можно Ваш функционал расширить вызовами к любым портам.
А для xp_cmdshell обязательно настройте sp_xp_cmdshell_proxy_account. Тем более у Вас здесь отличное место для sql-инъекции
Каждый сисадмин пишет свою систему мониторинга.
SQL like опросы можно юзать вот так
https://osquery.io
Мониторинг Windows серверов на чистом MS SQL, и как я это тайно внедрил