Monitoring avec Prometheus

- targets: ['localhost:9090']

- job_name: 'systems'

- targets: ['localhost:9100']

La configuration est assez simple à comprendre.

Le scrape_interval peut être modifié par la suite pour des jobs ou des targets précises.

Pour le moment, les alertes, on laisse de côté.

Au niveau scrap_configs, il faut comprendre qu’un job correspond à un type de relevé et pour lequel on donnes les targets concernées.
Le job « prometheus » sert pour les relevés propres au serveur Prometheus.
Le job que j’ai appelé « systems » (mais vous pourriez le nommer toto par exemple) récupère les métriques systemes fournies par Node Exporter( que l’on installera juste après)

De la lecture ici : https://github.com/prometheus/prometheus

Et pendant que j’y suis, pour les acharnés, il est bien sur possible de ne pas prendre les binaires mais de compiler soit même.

Mais bon, perso, je simplifie au maximum pour les tutos (pour laisser le temps à d’autres explications… 😉 )

B – Reverse proxy

Prometheus offre une interface web simple dont je parle plus bas. Je veux l’avoir à disposition sur une URL du genre : https://sous.mondomaine.fr/prometheus/

La configuration du reverse, dans Nginx, dans le block server sous.mondomaine.fr :

location /prometheus/ {

proxy_pass http://IP.PROMETHEUS:9090/;

proxy_http_version 1.1;

}

Et on pensera à recharger Nginx.

III – Mise en place

A – A la mimine

Avant de mettre ça « au propre », on va tester :

# prometheus --config.file /etc/prometheus/prometheus.yml --storage.tsdb.path /var/lib/prometheus/ --web.console.templates=/etc/prometheus/consoles --web.console.libraries=/etc/prometheus/console_libraries

Pour voir les flags disponible :

# prometheus -h

Bien sur, plus d’infos ici : https://github.com/prometheus/prometheus et la : https://prometheus.io

Maintenant, ne reste plus qu’à couper (CTRL-C) puis à faire un p’tit service pour ne pas avoir à faire de screen ou autres cochonneries.

Node Exporter, le collecteur de métriques systèmes

Il va nous permettre d’avoir nos métriques systèmes à disposition. Cpu, Ram, Espace Disque et quantités d’informations bientôt à votre portée !

I – Installation

Classique :

# wget https://github.com/prometheus/node_exporter/releases/download/v0.18.1/node_exporter-0.18.1.linux-amd64.tar.gz

# tar xvf node_exporter-0.18.1.linux-amd64.tar.gz

# cd node_exporter-0.18.1.linux-amd64/

# cp node_exporter /usr/local/bin/

Oui, un air de déjà vu…

II – Mise en place

A – A la mimine

Node Exporter n’a pas besoin de fichier de config, il suffit juste de le lancer.

Ceci dit, vous pouvez jeter un œil la : https://github.com/prometheus/node_exporter et constater que par défaut, beaucoup de choses sont activées.
On peut les désactiver en passant l’argument –no-collector.<name>. Par ex : –no-collector.zfs.
Au contraire, d’autres sondes sont désactivées, on peut alors les activer avec –collector.<name>.

On lance avec, par exemple :

# node_exporter --no-collector.zfs --no-collector.pressure

A vous d’affiner ce qu’il vous faut ou non.

Ça se lance ? Parfait, alors on met ça en service.

B – En Service

La routine :

# useradd --no-create-home --shell /bin/false node_exporter

# chown node_exporter:node_exporter /usr/local/bin/node_exporter

On créer le fichier /etc/systemd/system/node_exporter.service :

[Unit]

Description=Node Exporter

Wants=network-online.target

After=network-online.target

ExecStart=/usr/local/bin/node_exporter \

--no-collector.zfs \

--no-collector.pressure

[Install]

WantedBy=multi-user.target

Et ensuite :

# systemctl enable node_exporter.service

# service node_exporter start

# service node_exporter status

C – Un peu de ménage

# rm node_exporter-0.18.1.linux-amd64 -r

# rm node_exporter-0.18.1.linux-amd64.tar.gz

D – Prometheus

La configuration dans Prometheus est déjà en place. Pour mémoire, dans le fichier /etc/prometheus/prometheus.yml :

- job_name: 'systems'

- targets: ['localhost:9100']

Il suffit ensuite d’aller voir dans son interface Web, et la target doit être Up.

III – Rajout d’un serveur à monitorer

Pour rajouter un serveur, rien de compliqué.

Vous installez Node Exporter comme on vient de le faire.

Puis dans la configuration de Prometheus, dans le fichier /etc/prometheus/prometheus.yml vous rajoutez la nouvelle target dans le job dédié à Node Exporter. Par exemple :

scrape_configs:

[...]

- job_name: 'systems'

- targets: ['localhost:9100','monautreserveur:9100']

On peut aussi tout à fait créer un nouveau job si besoin est. Et l’on peut aussi filtrer les métriques :

- targets: ['montruc:9100']

Pour le nommage du serveur, avoir un DNS est pratique, car si vous donnez des IPS, ce sont ces dernières qui apparaitront comme label.

Je reviendrais cependant sur ce point plus tard. Et si vous n’avez pas de DNS, suivez le guide alors…

Puis pour terminer, on recharge :

# curl -X POST http://localhost:9090/-/reload

et la nouvelle target apparait bien dans l’interface web.

IV – Utilisation

On peut déjà tester avec curl :

# curl -s "monautreserveur:9100/metrics"

Et l’on voit toutes les métriques.

Ensuite, dans l’interface Web de Prometheus, on peut tester une requête, par exemple : node_cpu_seconds_total, et l’on obtient la métrique sur l’ensemble des serveurs surveillés.

Pour voir une machine en particulier : node_cpu_seconds_total{instance= »monautreserveur:9100″}

Ici, l’important est de voir que ça fonctionne, on reviendra sur les requêtes dans Grafana.

V – Conclusion

La aussi, très rapide à mettre en place et pas compliqué pour un sous.

Et pour visualiser tout cela au mieux, nous allons maintenant passer à l’installation de Grafana pour exploiter aux mieux ces nouvelles données et se faire de jolies Dashboards avec plein de jolies courbes !

Grafana, l’interface Web

mettre en place l’interface Web Grafana qui va nous permettre de mettre en place nos Dahsboards de Supervision, Monitoring, etc.

I – Installation

Sur la machine dédiée à Grafana, on revient à du classique apt-get :

# apt-get install apt-transport-https curl

# curl https://packages.grafana.com/gpg.key | apt-key add -

# echo 'deb https://packages.grafana.com/oss/deb stable main' > /etc/apt/sources.list.d/grafana.list

# apt-get update

Et on installe bêtement avec :

# apt-get install grafana

Comme recommandé, on exécute :

# systemctl enable grafana-server

II – Configuration

La configuration de Grafana se passe dans le fichier /etc/grafana/grafana.ini où l’on va modifier :

domain = sous.mondomaine.fr

root_url = %(protocol)s://%(domain)s/grafana/

Au niveau de l’adresse d’accès, je veux quelques chose comme https://sous.mondomaine.fr/grafana/.

Si vous avez une erreur 404 au chargement de l’interface, plus bas, éditez de la sorte:

[auth.basic]

enabled = false

Une fois configuré, on va lancer le service :

# service grafana start

Et un p’tit :

# service grafana status

pour être sûr.

C – Reverse proxy

La configuration du reverse (Nginx) dans le block server sous.mondomaine.fr :

location /grafana/ {

proxy_pass http://IP.GRAFANA:3000/;

proxy_http_version 1.1;

}

On pense à le recharger au passage.

III – Première connexion

On se connecte sur https://sous.mondomaine.fr/grafana/. Le couple login/mdp par défaut est admin/admin et il vous sera demandé de modifier le mot de passe.
Pour info, Grafana supporte Openldap et autres backends pour l’authentification (on verra ça quand j’aurais le temps).

Une fois authentifié, Grafana va vous demander une source de données.
Tout simplement, vous lui dites que c’est Prometheus, que l’adresse est http://IP.PROMETHEUS:9090 et … c’est tout. Les paramètres par défauts sont bons, rien d’autre à régler.

On sauvegarde et tout doit être OK.

IV – Première requête

Ensuite, Grafana vous invite à créer votre première Dashboard.

Une fois celle ci créée, regardez en haut à droite, et voyez la série de boutons. Le premier est très utile vu qu’il permet de créer des panels.

Vous choisissez alors l’option Add Query. Puis dans la partie Query, commencez à taper node … et … la magie de l’autocomplétion !
On l’avait aussi dans l’interface web de Prometheus, mais celle ci ne marche que pour le noms de métriques. Dans Grafana, ça marche aussi pour le reste….

On va faire par exemple :

node_load1

ce qui nous affiche tous les loads sur 1 minutes de tous les serveurs.

On peut filtrer avec :

node_load1{instance="monautreserveur:9100"}

Et si par exemple vous aviez cette métrique sur plusieurs jobs, vous pourriez faire :

node_load1{instance="monautreserveur:9100",job="lejobquejefiltre"}

En gros, notre requête PromQL donnerait en InfluxDB :

SELECT node_load1 FROM matable WHERE (instance="monautreserveur:9100" AND job="lejobquejefiltre")

Bien évidement, ce n’est qu’un minuscule aperçu des possibilités… mais si vous avez compris ça, c’est 90% du PromQL… Bon ,j’exagère p’tet un poil…
Mais après, le type d’opérations (sum, count, etc..) cela reste plus ou moins la même chose d’une base à l’autre…

La doc pour mémoire : https://prometheus.io/docs/prometheus/latest/querying/basics/

Au niveau Graphique, idem les possibilités sont très nombreuses, à vous d’explorer !

Mais pour bien appréhender tout cela, il y a une méthode bien plus « pratique » et l’on va voir ça de suite !

V – Explorez vos données

Grafana dispose également d’un mode « Explore » (la boussole à gauche).

A la manière d’un Kibana, cela permet de préparer les requêtes et d’ajouter des filtres de façon dynamiques. Tres pratique car l’autocomplétion est complète (pas besoin par ex de taper ins.. pour avoir instance…)

De plus, une aide en ligne est dispo pour les fonctions.

Bref, c’est le bon endroit pour commencer à travailler ses requêtes avant d’en faire un panel.

VI – Import de Dashboards

Une fonction de Grafana qui, a priori ne paye pas de mine, mais pourtant se révèle être une excellente idée est la possibilité d’importer des Dashboards déjà conçues.
Et pour se mettre au PromQL, c’est fichtrement formateur de regarder des exemples concrets.

Dans Grafana, sélectionnez le bouton + à gauche, puis Import. Il suffit de rentrer l’id de la Dahsboard que l’on trouvera ici : https://grafana.com/grafana/dashboards

On peut commencer par deux Dashboards comparables (à vous de voir celle que vous préférez) et qui sont dédiées au serveur Prometheus lui même :

https://grafana.com/grafana/dashboards/3662 et https://grafana.com/grafana/dashboards/2

Une fois importée(s) (on colle l’id, on renomme si on veut et on déclare la source Prometheus) et la Dashboard chargée, on peut admirer !

Bon, c’est pas tout, mais il y a une Dashboard qui est très utile, c’est : Node Exporter Full disponible ici https://grafana.com/grafana/dashboards/1860

Elle va nous permettre de visualiser toutes les métriques remontées par Node Exporter.

Importez la, et choisissez le serveur dans Host en haut…

C’est beau hein !

Maintenant, libre à vous de regarder comment chaque panel est fait (petite flèche à côté du nom, puis Edit).

VII – Copier un panel

Bon, c’est bien joli tout ça, mais admettons que vous souhaitiez vous faire votre propre Dashboard avec, par exemple, l’espace disque disponible et ce pour chaque machine.
Vu que les panels de Node Exporter Full sont très bien fait, ce sera une excellente base de départ et plutôt que de copier les requêtes, puis refaire le graphique avec les options qui vont bien, etc…, il existe une option « magique ».

Dans le Dashboard Node Exporter Full, trouvez le panel Filesystem Detail / Filesystem space available.

A côté du titre, cliquez sur la flèche puis More et Copy (il arrive que cela ne s’affiche pas, cliquez alors ailleurs et recommencez).

Ensuite, allez sur votre Dashboard, créez un nouveau Panel et une option apparait : paste copied panel.

Vous cliquez le cœur plein d’espoir… Et la : No data points.

Pas de panique, c’est normal !

Éditez le panel et regardez la requête A (la seule active d’ailleurs, on peut retirer les autres avec la petite corbeille) :

node_filesystem_avail_bytes{instance=~"$node:$port",job=~"$job",device!~'rootfs'}

Des variables sont attendues. Celles ci sont celles fournies par les box de sélection en haut de la Dashboard Node Exporter Full (vous pouvez d’ailleurs voir comment ils sont fait dans les options de la Dashboard).

Bref, on va modifier en :

node_filesystem_avail_bytes{instance="monautreserveur:9100"}

Le job ne sert à rien vu que c’est toujours le même et le device, on peut l’enlever aussi pour le moment.

Maintenant, il y a quelque chose qui me chagrine, c’est qu’il montre tous les points de montage.
Alors, pour y voir plus clair, on va supprimer la légende juste en dessous : {{mountpoint}} – Available et la, on voit les métriques au complet dans la légende. Par exemple :

node_filesystem_avail_bytes{device="/dev/xvda2",fstype="ext4",instance="monautreserveur:9100",job="systems",mountpoint="/"}

Bon, bah du coup, on va simplifier et notre requête sera :

node_filesystem_avail_bytes{instance="admin:9100",mountpoint="/"}

Simple non ?

Ensuite, il suffit de répéter pour chaque serveur en dupliquant et en modifiant…

A vous les Dashboards customisées !

Je pense qu’il est possible de se faciliter la vie en préparant un gabarit, puis en exportant le Json, en le tripatouillant, et en le réimportant. Mais je verrais ça quand j’aurais le temps…

Pour le momen, nous n’avons parlé que des deux familles de métriques que nous remontons pour le moment, celle de Prometheus (préfixées : prometheus_), et les métriques systèmes via Node Exporter (préfixées : node_).

Par la suite, on verra comment monitorer d’autres services et la aussi, des Dashboards préconçues existent.

VIII – Conclusion

Voila pour cette petite introduction sur Grafana. Je ne fais qu’effleurer, mais Grafana est facile à comprendre et le langage PromQL se maitrise rapidement, d’autant plus que les panels déjà existant de Node Exporter Full sont très riches d’enseignements.

La documentation de Grafana est ici https://grafana.com/docs, je vous invite à aller voir.

Je vous ai donné les clés, à vous d’ouvrir toutes les portes …

Ceci dit, on reparlera de Grafana un peu plus tard, mais en attendant, on va maintenant se poser la question de « Comment savoir que tel service est down sans avoir le nez sur le monitoring ? » dans l’article dédié à l’Alerting avec Alertmanager.

Gestion des alertes avec Alertmanager

Pour bien comprendre : Alertmanager se nourrit de alertes (remontées par Prometheus) et dit quoi en faire.
Il est possible d’avoir différents groupes, pour différents types d’alertes, pour avoir, par exemple, les truc vraiment urgent par SMS, etc…

Les règles d’alertes se configurent côté Prometheus.

Ici, on va rester simple et n’avoir qu’un groupe et faire du mail.

Alertmanager sera ici installé sur le même serveur que Prometheus.

I – Installation

Et c’est reparti :

# wget https://github.com/prometheus/alertmanager/releases/download/v0.18.0/alertmanager-0.18.0.linux-amd64.tar.gz

# tar xvf alertmanager-0.18.0.linux-amd64.tar.gz

# cd alertmanager-0.18.0.linux-amd64/

# cp alertmanager /usr/local/bin/

# cp amtool /usr/local/bin/

# mkdir /etc/alertmanager

# mkdir /var/lib/alertmanager

II – Configuration

A – Alerte Manager

La configuration se passe dans le fichier /etc/alertmanager/alertmanager.yml :

global:

smtp_smarthost: 'IP.SERVEURMAIL'

smtp_from: 'alertmanager@mondomaine.fr'

smtp_require_tls: false #optionnel, mais mon smtp interne est en clair, le tls n'étant que pour l'exterieur

route:

receiver: 'alert-mails'

- name: 'alert-mails'

email_configs:

- to: 'moi@mondomaine.fr'

Je reviens quand même rapidement sur la notion de groupes :

Quand une alerte est déclenchée, elle fait partie d’un groupe.
La, group_wait stipule le temps d’attente pour voir si une autre alerte du même groupe se pointe éventuellement, ceci pour tout envoyer ensemble.
Si une nouvelle alerte du même groupe se présente, c’est group_interval qui va définir le temps entre chaque « batch ».
Et repeat_interval définit le temps de réémission de l’alerte si elle est toujours en cours.

On peut aussi les grouper par label avec par exemple :

group_by: ['instance']

qui permettra de grouper tout les alertes d’une instance.

Il est possible de faire en fonction de match, de regex…

Bref, de la lecture ici : https://github.com/prometheus/alertmanager et la https://prometheus.io/docs/alerting/configuration/

Et si vous voulez bien gérer le routing, un petit outil pratique :

https://prometheus.io/webtools/alerting/routing-tree-editor/

De la même façon que pour Prometheus, on peut recharger la configuration avec :

# curl -X POST http://localhost:9093/-/reload

B – Nginx

Alertmanager dispose lui aussi d’une interface Web, et ce coup ci, ce sera https//sous.mondomaine.fr/alertmanager/

Précision : cette interface ne remonte que les alertes en cours (celles que Prometheus lui a envoyées).

Bref, pour Nginx, classique :

location /alertmanager/ {

proxy_pass http://10.20.1.231:9093/;

proxy_http_version 1.1;

}

et on…. recharge, c’est bien, vous suivez…

III – Mise en place

A – A la mimine

# alertmanager --config.file /etc/alertmanager/alertmanager.yml --storage.path /var/lib/alertmanager/

La aussi, RAS, donc on passe en service.

B – En Service

On fait ce qu’il faut :

# useradd --no-create-home --shell /bin/false alertmanager

# chown alertmanager:alertmanager /etc/alertmanager/ -R

# chown alertmanager:alertmanager /var/lib/alertmanager/ -R

# chown alertmanager:alertmanager /usr/local/bin/alertmanager

# chown alertmanager:alertmanager /usr/local/bin/amtool

Puis le fichier de service /etc/systemd/system/alertmanager.service :

[Unit]

Description=AlertManager

Wants=network-online.target

After=network-online.target

ExecStart=/usr/local/bin/alertmanager \

--config.file /etc/alertmanager/alertmanager.yml \

--storage.path /var/lib/alertmanager/ \

--web.external-url=https://sous.mondomaine.fr/alertmanager/ \

--web.route-prefix="/"

[Install]

WantedBy=multi-user.target

La aussi, j’ai ajouté les deux flags web.external-url et web.route-prefix.

Et pour finir :

# systemctl enable alertmanager.service

# service alertmanager start

# service alertmanager status

C – Ménage

# rm alertmanager-0.18.0.linux-amd64 -r

# rm alertmanager-0.18.0.linux-amd64.tar.gz

IV – Utilisation

La première chose à faire est déjà de s’assurer que l’envoi des alertes fonctionne correctement.

Une fois de plus, on va « Curler » avec :

# curl -H "Content-Type: application/json" -d '[{"labels":{"alertname":"Test"}}]' localhost:9093/api/v1/alerts

C’est d’ailleurs de cette façon que Prometheus déclenchera Alertmanager.

Et peu de temps après, un p’tit mail doit arriver.

V – Liaison avec Prometheus

On va connecter Prometheus et Alertmanager dans /etc/prometheus/prometheus.yml, où l’on va modifier la partie alerting et la partie rules:

Je pense que des explications seront superflues…

Et on recharge Prometheus :

# curl -X POST http://localhost:9090/-/reload

VI – Règles

On va d’abord créer un répertoire pour les accueillir :

# mkdir /etc/prometheus/rules

Puis dans ce répertoire, un fichier alerts.yml ou n’importe quel autre nom… :

groups:

- name: toto

rules:

- alert: InstanceDown

summary: "L'instance {{ $labels.instance }} est down"

description: "Le Job: {{ $labels.job }} signale que {{ $labels.instance}} est down depuis deja 1 minute. Tu attends quoi ?"

- alert: DiskFull

expr: node_filesystem_free_bytes{mountpoint ="/stockage",instance="serveurparticulier:9100"} / 1024 / 1024 / 1024 < 20

summary: "Et zut, on arrive a moins de 20Go sur {{ $labels.instance }}"

description: "Il reste precisement {{ $value }}"

Dans ce fichier, deux alertes simples pour l’exemple. On peut en mettre autant qu’on veut. Ce que je fait, à titre personnel, c’est un fichier par groupe.

Pour le groupe, rien de sorcier, on lui donne un nom et ensuite les alertes associées.

Pour les alertes, chaque fois la même structure :

•.Le nom de l’alerte, sans espace.
•.L’expression sur laquelle filtrer. Pour la première, c’est simple. Pour la seconde, je filtre sur un serveur en particulier et l’alerte se déclenche si le résultat est inférieur à 20.
•.For indique pendant combien de temps la condition doit être remplies pour que l’alerte soit déclenchées. Elle est Pending pendant ce laps de temps.
•.Ensuite, on peut rajouter des labels.
•.Puis le contenu ou il est possible de reprendre les variables.

On peut vérifier le fichier avec :

# promtool check rules /etc/prometheus/rules/alerts.yml

promtool a été copié avec l’exécutable prometheus dans la partie I si vous avez bien suivi …

On peut remettre les permissions :

# chown prometheus:prometheus /etc/prometheus/ -R

Puis on recharge Prometheus :

# curl -X POST http://localhost:9090/-/reload

Envie d’idée pour de nouvelles règles ?

Allez voir par la : https://awesome-prometheus-alerts.grep.to/rules.html

VII – Tests

Il n’y a plus qu’à tester et rien de plus simple !

Coupons Node Exporter sur une machine ou il est installé.

# service node_exporter stop

On attend quelques instants et dans l’interface de Prometheus https//sous.mondomaine.fr/prometheus/, dans la section Alerts, on doit voir l’alerte passer en orange (et le détail indique Pending)

Puis, une fois le délai for dépassé, elle passe en rouge (Firing) et est transmise à Alertmanager. Elle sera visible dans l’interface https//sous.mondomaine.fr/alertmanager/ et on reçoit le mail également.

VIII – Les alertes dans Grafana ?

Oui, c’est possible !

Il faut au préalable installer un plugin Grafana. Les plugins sont disponibles ici : https://grafana.com/grafana/plugins

Et pour l’installer, sur la machine ou est installé grafana :

# grafana-cli plugins install camptocamp-prometheus-alertmanager-datasource

# service grafana restart

On retourne dans Grafana, on ajoute une source de données : Configuration, Data Sources, Add data sources.

Puis : Prometheus AlertManager.

Dans la config : http://IP.ALERTEMANAGER:9093 et le reste par défaut.

Une fois enregistré, faites un nouveau panel et une nouvelle requête.

A côté de Query est indiqué default (qui est la base prometheus). Et bien, tout simplement, vous allez choisir prometheus-alertmanager.

Passez le graphique en mode tableau… et rien….

Il faut en effet rajouter une légende pour que cela fonctionne.
Autre petit bug, la severity n’apparait pas,bien qu’on puisse filtrer dessus dans la requête avec par exemple : severity= »critical ». On peut bien évidement filtrer sur les champs que l’on veut.
Et pour n’afficher que certaines colonnes, c’est dans Labels avec par exemple : alertname, instance, description

Après, on peut mettre en couleur, faire des seuils, etc…

Pour en savoir plus, c’est ici : https://grafana.com/grafana/plugins/camptocamp-prometheus-alertmanager-datasource

Ha, et je viens de voir qu’il existe un dashboard : https://grafana.com/grafana/dashboards/8010

A vous de tester !

IX – Conclusion

Une fois de plus, rien de bien sorcier au final. C’est rapidement mis en place, facile à comprendre et donc facile à mettre en production.

Avec tout ce qu’on a installé jusque la, on a déjà de quoi bien s’amuser. Mais il est encore des choses dont je veux vous parler…

Et pour commencer, on va causer de Blackbox, la sonde « boite noire » …

BlackBox Exporter

Nous allons mettre en place Blackbox Exporter, un outil permettant de faire du monitoring en « boite noire ».

Les sondes sont « externes » au système à monitorer et se contente de vérifications qu’un utilisateur lambda pourrait faire à la main. C’est en quelque sorte le contraire du monitoring en boite blanche (ce que fait Node Exporter), où l’on accède à toutes les métriques du serveur directement.

Blackbox Exporter permet d’utiliser quatre types de sondes (probe) : ICMP, HTTP(s), DNS et TCP.

Ici, il sera installé sur le serveur Prometheus. On pensera éventuellement à ouvrir les ports sur le FW si besoin.

I – Installation

La routine :

# wget https://github.com/prometheus/blackbox_exporter/releases/download/v0.14.0/blackbox_exporter-0.14.0.linux-amd64.tar.gz

# tar xvf blackbox_exporter-0.14.0.linux-amd64.tar.gz

# cd blackbox_exporter-0.14.0.linux-amd64.tar.gz/

# cp blackbox_exporter /usr/local/bin/

# mkdir /etc/blackbox_exporter

II – Configuration

A – Blackbox

Pour la configuration, cela se passe dans /etc/blackbox_exporter/blackbox.yml :

valid_status_codes: [] # par defaut, 2XX

method: GET

fail_if_body_matches_regexp:

- "Erreur lors de la connexion"

preferred_ip_protocol: ip4

preferred_ip_protocol: ip4

query_name: "debugo.fr"

preferred_ip_protocol: "ip4"

query_response:

- expect: "^220 ([^ ]+) ESMTP (.+)$"

- send: "EHLO ProberCheck"

- expect: "^250-STARTTLS"

- send: "STARTTLS"

- expect: "^220"

- starttls: true

- send: "EHLO ProberCheck"

- expect: "^250-AUTH"

preferred_ip_protocol: "ip4"

query_response:

- expect: "CAPABILITY IMAP4rev1"

- send: "QUIT"

Un module correspond à un ensemble de paramètres que vous allez configurer et qui définissent les « options » du prober choisi.

Pour l’exemple, j’ai en fait un avec chaque probe (sauf Tcp ou je l’utilise deux fois).

Pour chaque module, on trouve son nom (http_check, icmp_check,etc…), la probe utilisée (http,icmp,dns ou tcp) et la configuration associée.

Http : l’astuce consiste ici a faire échouer la sonde si le message « Erreur lors de la connexion » est présent.
En effet, si mon WordPress ne communique plus avec la base, pour la probe, on reçoit bien le code HTTP 200, mais pour autant, le site ne fonctionne pas.

Icmp : on force juste en IPv4.

Dns : le check va simplement vérifier le champ SOA.
Par exemple pour regarde si la propagation DNS est correcte en interrogeant votre serveur autoritaire et d’autres et en comparant les réponses.
On peut bien évidement interroger d’autres champs, regarder les réponses, etc…

Tcp : surement le module le plus intéressant, celui ci va nous permettre d’établir une connexion sur un service et de vérifier les réponses.

Ici, je m’en sers pour vérifier deux serveur : SMTP et IMAP. Le ping n’est pas suffisant pour cela, la machine peut encore tourner et Postfix et/ou Dovecot peuvent être dans les choux
Rien de sorcier, on donne des commandes, on regarde les retours.

Pour l’imap, comme je fais du Imaps et non pas du imap puis ensuite du ssl…, la configuration active le tls des le début de la connexion.

Envie d’ailleurs de monter votre serveur mail complet ? Je vous invite à regarder la série de tutoriels (oui, je me fais de la pub…)

Libre à vous d’imaginer des sondes pour des serveurs IRC, SSH, LDAP, etc…

Pour plus d’infos : https://github.com/prometheus/blackbox_exporter et un exemple assez complet : https://github.com/prometheus/blackbox_exporter/blob/master/example.yml

Pour recharger BlackBox en cas de modification de la configuration :

# curl -X POST http://localhost:9115/-/reload

C – Droit de Ping

Le ping pose un petit soucis de droit si blackbox n’est pas executé en root.

Ça se règle simplement avec :

# apt-get install libcap2-bin

# setcap cap_net_raw+ep /usr/local/binblackbox_exporter

Et on peut vérifier avec

# getcap /usr/local/binblackbox_exporter

A priori, on peut aussi ajouter ce qui suit dans le fichier de service :

[Service]

User=...

Group=...

AmbientCapabilities=CAP_NET_RAW

Bref, peu importe mais faite un truc 😉

III – Mise en place

A – A la mimine

On teste :

# blackbox_exporter --config.file /etc/blackbox_exporter/blackbox.yml

Ras, ça se lance.

B – En Service

Encore la routine :

# useradd --no-create-home --shell /bin/false blackbox_exporter

# chown blackbox_exporter:blackbox_exporter /etc/blackbox_exporter/ -R

# chown blackbox_exporter:blackbox_exporter /usr/local/bin/blackbox_exporter

Puis un fichier /etc/systemd/system/blackbox_exporter.service :

[Unit]

Description=Blackbox Exporter

Wants=network-online.target

After=network-online.target

[Service]

User=blackbox_exporter

Group=blackbox_exporter

Type=simple

ExecStart=/usr/local/bin/blackbox_exporter \

--config.file /etc/blackbox_exporter/blackbox.yml

[Install]

WantedBy=multi-user.target

Et pour terminer :

# systemctl enable blackbox_exporter.service

# service blackbox_exporter start

# service blackbox_exporter status

C – Du ménage

# rm blackbox_exporter-0.14.0.linux-amd64 -r

# rm blackbox_exporter-0.14.0.linux-amd64.tar.gz

IV – Utilisation

On va tester :

# curl -s "localhost:9115/probe?module=http_check&target=https://mondomaine.fr"

Et comme c’est bavard, on peut faire :

# curl -s "localhost:9115/probe?module=http_check&target=https://mondomaine.fr" | grep -v \#

Et l’on observe toutes les informations relevées par la sonde.

Pour les autres modules :

# curl -s "localhost:9115/probe?module=dns_check&target=XXX.XXX.XXX.XXX" | grep -v \#

# curl -s "localhost:9115/probe?module=smtp_check&target=XXX.XXX.XXX.XXX:25" | grep -v \#

# curl -s "localhost:9115/probe?module=imap_check&target=XXX.XXX.XXX.XXX:993" | grep -v \#

# curl -s "localhost:9115/probe?module=icmp_check&target=XXX.XXX.XXX.XXX" | grep -v \#

On peut activer le debug (dont je parlais plus haut) avec :

# curl -s "localhost:9115/probe?debug=true&module=http_check&target=https://mondomaine.fr"

V – Jobs dans Prometheus

A – Configuration

On va maintenant créer les jobs correspondants dans Prometheus.

Dans la partie scrape_configs du fichier /etc/prometheus/prometheus.yml :

scrape_configs:

[...]

- job_name: 'CheckUrl'

- https://mondomaine.fr

- https://monautredomaine.fr

relabel_configs:

- smtp.mondomaine.fr:25

relabel_configs:

- job_name: 'DNS'

metrics_path: /probe

params:

module: [dns_check_soa]

- imap.mondomaine.fr:993

relabel_configs: