Debian 9에 Cacti SNMP 모니터링 도구 설치하는 방법

이 튜토리얼에서는 Debian 9(코드명 Stretch)에서 최신 버전을 확보하기 위해 소스에서 Cacti 네트워크 모니터링 도구를 설치하고 구성하는 방법을 보여줍니다.

Cacti는 RRDtool을 통해 네트워크 및 시스템 그래픽을 표시하도록 설계된 완전한 오픈 소스 웹 기반 네트워크 모니터링 도구입니다. 이 도구는 SNMP(간단한 네트워크 관리 프로토콜)를 사용하여 스위치, 라우터, Linux, Unix 및 Windows 서버 또는 SNMP를 지원하는 기타 유형의 네트워크 기반 장치와 같은 네트워크 장치에서 네트워크 트래픽을 수집하고 모니터링합니다.

요구 사항

• 베어 메탈 머신 또는 가상 사설 서버에 Debian 9 최소 설치.
• 시스템 네트워크 인터페이스 카드 중 하나에 구성된 정적 IP 주소.
• 루트 계정에 대한 액세스 또는 sudo를 통해 루트 계정 권한이 있는 사용자.

초기 구성

Cacti를 소스에서 설치하기 전에 시스템이 Cacti를 컴파일하고 설치하는 데 필요한 모든 소프트웨어 요구 사항을 충족하는지 확인하십시오. 첫 번째 단계로, 루트 권한으로 Debian 소스 목록 파일을 열어 아래 파일 발췌와 같이 contrib 및 non-free 리포지토리를 추가합니다.

nano /etc/apt/sources.list

sources.list 파일 샘플:

*deb http://ftp.ro.debian.org/debian/ stretch main contrib non-free  
deb-src http://ftp.ro.debian.org/debian/ stretch main  
  
deb http://security.debian.org/debian-security stretch/updates main contrib non-free  
****deb-src http://security.debian.org/debian-security stretch/updates main*

파일 편집을 마친 후, 파일을 저장하고 닫은 다음 아래 명령어를 실행하여 시스템 리포지토리와 소프트웨어 패키지를 업데이트하여 새로운 패키지를 통합합니다.

apt update

apt upgrade

다음으로, 시스템을 명령줄에서 추가로 관리하는 데 사용할 몇 가지 필수 유틸리티를 설치하기 위해 새 명령을 실행합니다.

apt install wget patch unzip zip bash-completion

Cacti는 주로 PHP 서버 측 프로그래밍 언어로 작성된 웹 기반 모니터링 도구입니다. Cacti php 파일 스크립트를 실행하려면 Apache HTTP 서버와 PHP 인터프리터가 시스템에 설치되어 있어야 합니다. Cacti가 제대로 실행되기 위해 필요한 모든 PHP 모듈과 함께 Apache 웹 서버 및 PHP 인터프리터를 설치하려면 서버 콘솔에서 다음 명령을 실행하십시오.

apt install apache2 libapache2-mod-php7.0 php7.0 php7.0-snmp php7.0-xml php7.0-mbstring php7.0-json php7.0-gd php7.0-gmp php7.0-zip php7.0-ldap php7.0-mcrypt

Apache와 PHP가 설치된 후, 루트 권한으로 다음 명령을 실행하여 웹 서버가 실행 중인지 확인하고 포트 80에서 네트워크 연결을 수신 대기하는지 확인합니다.

netstat –tlpn

기본적으로 Debian 시스템에 netstat 네트워크 유틸리티가 설치되어 있지 않은 경우, 아래 명령을 실행하여 설치하십시오.

apt install net-tools

netstat 명령 출력에서 Apache 데몬이 포트 80에서 수신 대기 중인 네트워크 연결을 확인할 수 있습니다.

시스템에 UFW 방화벽 애플리케이션과 같은 방화벽이 활성화되어 있는 경우, 다음 명령을 실행하여 HTTP 트래픽이 방화벽을 통과할 수 있도록 새 규칙을 추가해야 합니다.

ufw allow WWW

또는

ufw allow 80/tcp

마지막으로, 클라이언트의 브라우저에서 HTTP 프로토콜을 통해 Debian 머신의 IP 주소를 방문하여 Apache 웹 서버 기본 웹 페이지가 표시되는지 테스트합니다. 머신의 IP 주소를 모르는 경우 ‘ifconfig‘ 또는 ‘ip a‘ 명령을 실행하십시오. 이 설정에서 내 IP는: http://192.168.1.14입니다.

다음 단계에서는 PHP 기본 구성 파일에 몇 가지 추가 변경을 해야 합니다. file_uploads 변수가 활성화되어 있고 PHP timezone 설정이 올바르게 구성되어 시스템의 물리적 위치와 일치하는지 확인하십시오. /etc/php/7.0/apache2/php.ini 파일을 편집하고 다음 줄이 다음과 같이 설정되어 있는지 확인하십시오.

*file_uploads = On  
****date.timezone = Europe/London*

시간대 변수를 물리적 시간대에 맞게 변경하려면 PHP 문서에서 제공하는 시간대 목록을 참조하십시오. 링크: http://php.net/manual/en/timezones.php

필요한 변경을 완료한 후, php 정보 파일을 생성하고 다음 명령을 실행하여 변경 사항을 적용하기 위해 Apache 데몬을 재시작합니다.

echo ''| tee /var/www/html/info.php

systemctl restart apache2

PHP 시간대가 올바르게 구성되었는지 확인하려면 브라우저에서 다음 URL에서 php 정보 스크립트를 방문하십시오(아래 이미지에 설명된 대로). 날짜 설정으로 스크롤하여 php 시간대 설정을 확인하십시오.

http://192.168.1.14/info.php

Cacti 모니터링 도구는 RDBMS 데이터베이스에 구성 및 수집된 데이터를 저장합니다. 이 튜토리얼에서는 Cacti를 MariaDB 데이터베이스 백엔드로 구성합니다. 아래 명령을 실행하여 MariaDB 데이터베이스와 mysql 데이터베이스에 액세스하는 데 필요한 PHP 모듈을 설치합니다.

apt install mariadb-server php7.0-mysql

MariaDB를 설치한 후, netstat 명령을 실행하여 데몬이 실행 중인지 확인하고 localhost에서 포트 3306에서 네트워크 연결을 수신 대기하는지 확인합니다.

netstat –tlpn | grep mysql

그런 다음 MySQL 콘솔에 로그인하고 다음 명령을 실행하여 MariaDB root 계정을 보호합니다.

mysql -h localhost

use mysql;  
update user set plugin='' where user='root';  
flush privileges;  
exit

다음 단계에서는 Debian Stretch 리포지토리에서 설치 패키지에서 제공하는 mysql_secure_installation 스크립트를 실행하여 MariaDB를 보호합니다. 스크립트를 실행하는 동안, MySQL root 비밀번호 변경, 익명 사용자 제거, 원격 root 로그인 비활성화 및 테스트 데이터베이스 삭제와 같은 일련의 질문이 표시됩니다. 아래 명령을 실행하여 스크립트를 실행하고, MySQL 데몬을 완전히 보호하기 위해 모든 질문에 ‘yes’라고 입력해야 합니다. 아래 스크립트 출력을 가이드로 사용하십시오.

sudo mysql_secure_installation

NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB

      SERVERS IN PRODUCTION USE!  PLEASE READ EACH STEP CAREFULLY!

In order to log into MariaDB to secure it, we'll need the current

password for the root user.  If you've just installed MariaDB, and

you haven't set the root password yet, the password will be blank,

so you should just press enter here.

Enter current password for root (enter for none):

OK, successfully used password, moving on...

Setting the root password ensures that nobody can log into the MariaDB

root user without the proper authorisation.

You already have a root password set, so you can safely answer 'n'.

Change the root password? [Y/n] y

New password:

Re-enter new password:

Password updated successfully!

Reloading privilege tables..

 ... Success!

By default, a MariaDB installation has an anonymous user, allowing anyone

to log into MariaDB without having to have a user account created for

them.  This is intended only for testing, and to make the installation

go a bit smoother.  You should remove them before moving into a

production environment.

Remove anonymous users? [Y/n] y

 ... Success!

Normally, root should only be allowed to connect from 'localhost'.  This

ensures that someone cannot guess at the root password from the network.

Disallow root login remotely? [Y/n] y

 ... Success!

By default, MariaDB comes with a database named 'test' that anyone can

access.  This is also intended only for testing, and should be removed

before moving into a production environment.

Remove test database and access to it? [Y/n] y

 - Dropping test database...

 ... Success!

 - Removing privileges on test database...

 ... Success!

Reloading the privilege tables will ensure that all changes made so far

will take effect immediately.

Reload privilege tables now? [Y/n] y

 ... Success!

Cleaning up...

All done!  If you've completed all of the above steps, your MariaDB

installation should now be secure.

Thanks for using MariaDB!

MariaDB 보안을 테스트하기 위해, 콘솔에서 root 비밀번호 없이 데이터베이스에 로그인해 보십시오. root 계정에 대한 비밀번호가 제공되지 않으면 데이터베이스에 대한 액세스가 거부되어야 합니다. 비밀번호가 제공되면 MySQL 콘솔에 로그인할 수 있어야 합니다. 아래 스크린샷과 같이.

mysql -h localhost -u root

mysql -h localhost -u root –p

MariaDB 데이터베이스에 로그인한 후, Cacti 설치를 위한 데이터베이스를 생성하고 cacti 데이터베이스를 관리하는 데 사용할 사용자를 생성합니다. 다음 명령을 실행하십시오. cacti 데이터베이스 사용자 및 비밀번호를 적절히 변경하십시오.

create database cacti;  
grant all on cacti.* to 'cacti_user'@'localhost' identified by 'cacti_pass';  
flush privileges;  
exit

또한, MySQL 시간대에 대해 cacti 데이터베이스 사용자에게 선택 권한을 부여합니다. 이는 최신 Cacti 버전을 설치하고 실행하는 데 필요한 새로운 요구 사항입니다.

mysql -u root -p mysql < /usr/share/mysql/mysql_test_data_timezone.sql

mysql -u root -p -e 'grant select on mysql.time_zone_name to cacti_user@localhost'

다음 단계에서는 MySQL 서버 기본 구성 파일을 열고 아래 샘플과 같이 다음 줄을 추가합니다.

nano /etc/mysql/mariadb.conf.d/50-server.cnf

50-server.cnf 파일 하단에 다음 줄을 추가합니다:

max_heap_table_size              = 98M  
tmp_table_size                   = 64M  
join_buffer_size                 = 64M  
innodb_buffer_pool_size          = 485M  
innodb_doublewrite               = off  
innodb_additional_mem_pool_size  = 80M  
innodb_flush_log_at_timeout      = 3  
innodb_read_io_threads           = 32  
innodb_write_io_threads          = 16  

지금까지의 모든 변경 사항을 적용하기 위해 MySQL 및 Apache 데몬을 재시작하고 다음 명령을 실행하여 데몬이 실행 중인지 확인합니다.

systemctl restart mysql apache2

systemctl status mysql apache2

SNMP 서비스 구성

Cacti 웹 모니터링 서비스는 SNMP 프로토콜을 사용하여 장치 데이터 및 통계를 수집합니다. SNMP 프로그램, SNMP 데몬 서비스 및 SNMP MIBS를 로컬 Debian 9 시스템에 설치하려면 루트 권한으로 다음 명령을 실행하십시오.

apt install snmp snmpd snmp-mibs-downloader

또한 Cacti에서 그래프 기능을 표시하는 데 사용하는 산업 표준 데이터 로깅 도구인 RRDtool을 설치합니다.

apt install rrdtool

다음으로, SNMP 구성 파일 /etc/snmp/snmp.conf를 편집하고 아래 이미지에 설명된 대로 “mibs” 줄 앞에 해시태그(#)를 추가하여 주석 처리합니다.

또한 snmpd.conf 파일을 열어 SNMP 데몬 원격 및 로컬호스트 액세스를 구성하고 아래 줄을 검색하여 업데이트합니다:

nano /etc/snmp/snmpd.conf

모든 인터페이스에서 연결을 수신 대기하도록 설정된 줄의 주석을 제거합니다.

agentAddress udp:161,udp6:[::1]:161

다음 줄을 추가하여 로컬 네트워크에 대해 SNMP 쿼리를 허용합니다. snmp_string 비밀번호를 사용하여 SNMP 커뮤니티 문자열을 적절히 변경하십시오.

rocommunity snmp_string localhost  
rocommunity snmp_string 192.168.1.0/25

선택적으로, 서버에 대한 정보를 제공하기 위해 연락처 및 위치 변수를 수정할 수도 있습니다. 이 정보는 Cacti 알림 영역에 표시됩니다. 시스템 호스트 이름, 커널 버전 및 시스템 가동 시간도 Cacti 알림 영역에 표시됩니다.

이 정보를 수정하려면 시스템 정보 섹션 아래의 sysLocation 및 sysContact 줄을 편집하고 자신의 값을 추가하십시오. 기본적으로 sysLocation 및 sysContact에 대해 다음 값이 구성되어 있습니다.

sysLocation Sitting on the Dock of the Bay  
sysContact Me <[email protected]>

snmpd.conf 파일에 적절한 변경을 완료한 후, 파일을 저장하고 닫은 다음 아래 명령을 실행하여 snmp 데몬을 재시작하여 변경 사항을 반영합니다. 그런 다음 snmpd 데몬 상태와 수신 대기 상태의 포트를 확인합니다.

systemctl restart snmpd.service

systemctl status snmpd.service

netstat -tulpn| grep snmp

SNMP용 방화벽 포트를 엽니다:

ufw allow 161/udp

SNMP 데몬이 예상대로 작동하고 localhost의 메모리 트리 아래의 모든 SNMP 값을 검색하는지 확인하려면 아래 명령을 실행하십시오.

snmpwalk -v 2c -c snmp_string localhost memory

Cacti-Spine 설치

Cacti-Spine은 기본 cmd.php 폴러를 대체하는 것으로, 더 빠른 실행 시간을 위해 C로 작성되었습니다. Debian 9에서 소스에서 Cacti-Spine 풀러를 컴파일하고 설치하려면 먼저 시스템에 필요한 모든 종속성을 설치하기 위해 다음 명령을 실행합니다.

apt install build-essential dos2unix dh-autoreconf help2man libssl-dev libmysql++-dev libmariadb-dev libmariadbclient-dev librrds-perl libsnmp-dev

다음으로, wget 유틸리티를 사용하여 Cacti-Spine의 최신 버전 tar 압축 아카이브를 다운로드하고, tarball 아카이브를 추출한 후 다음 명령을 실행하여 cacti-spine 추출 디렉토리로 이동합니다.

wget https://www.cacti.net/downloads/spine/cacti-spine-latest.tar.gz

tar xfz cacti-spine-latest.tar.gz

cd cacti-spine-1.1.24/

이제 다음 명령을 실행하여 소스에서 Cacti-Spine 유틸리티를 컴파일하고 설치합니다.

./bootstrap

./configure

make

make install

Cacti-Spine는 /usr/local/spine/ 시스템 경로에 설치됩니다. Spine은 ICMP ping 요청을 지원하기 위해 spine 바이너리에 SUID 비트를 설정할 것을 권장합니다.

chown root:root /usr/local/spine/bin/spine

chmod +s /usr/local/spine/bin/spine

또한 아래 파일 발췌와 같이 구성 파일을 편집하여 Spine을 cacti 데이터베이스에 연결해야 합니다.

nano /usr/local/spine/etc/spine.conf

spine.conf 파일 샘플. 자격 증명을 적절히 변경하십시오. Cacti에 구성된 것과 동일한 데이터베이스 자격 증명을 사용하십시오.

DB_Host localhost  
DB_Database cacti  
DB_User user_cacti  
DB_Pass pass_cacti  
DB_Port 3306  
DB_PreG 0

Cacti 설치

Debian 9에서 소스에서 Cacti를 설치하려면 먼저 Cacti tarball 압축 아카이브의 최신 버전을 다운로드하고 추출한 후, 다음 명령을 실행하여 추출된 모든 파일을 Apache 웹 루트 경로로 복사합니다.

wget https://www.cacti.net/downloads/cacti-latest.tar.gz

tar xfz cacti-latest.tar.gz

cp -rf cacti-1.1.24/* /var/www/html/

다음 단계에서는 cacti 구성 파일을 열고 다음 줄을 업데이트하여 MySQL cacti 데이터베이스 사용자 이름, 비밀번호, 호스트 및 URL 경로를 적절히 반영합니다. 아래 예시와 같이.

nano /var/www/html/include/config.php

** Cacti config.php 파일 샘플:

*$database_type     = 'mysql';  
$database_default  = 'cacti';  
$database_hostname = 'localhost';  
$database_username = 'cacti_user';  
$database_password = 'cacti_pass';  
$database_port     = '3306';  
$database_ssl      = false;*

아래로 스크롤하여 경로 변수를 “/cacti ”에서 “ / ”로 변경합니다.

*$url_path = '/';*

다음으로, 웹 서버 문서 루트 위치에 있는 cacti.sql 스크립트를 로드하여 cacti 데이터베이스를 채우고 아래 명령을 실행하여 cacti mysql 테이블을 확인합니다.

mysql -u cacti_user cacti -p < /var/www/html/cacti.sql 

mysql -u cacti_user cacti -p -e 'show tables'

마지막으로, 웹 인터페이스에서 Cacti 설치를 시작하기 전에 Apache 웹 서버에 의해 설치된 기본 index.html 파일을 제거하고 Cacti의 로그 파일을 생성하며 Apache 런타임 사용자에게 Cacti 설치 경로에 대한 전체 쓰기 권한을 부여하는 아래 명령을 실행합니다.

rm /var/www/html/index.html

touch /var/www/html/log/cacti.log

chown -R www-data:www-data /var/www/html/

** 웹 인터페이스를 통해 Cacti 설치를 시작하려면 브라우저에서 시스템 IP 주소 또는 도메인 이름을 방문하고 다음 URL을 엽니다.

http://192.168.1.14/install

첫 번째 화면에서 GPL 라이센스 계약 수락을 확인하고 다음 버튼을 클릭하여 계속 진행합니다. 아래 스크린샷과 같이.

다음 화면에서 설치 프로그램이 모든 시스템 요구 사항을 통과했는지 확인하고 다음 버튼을 클릭하여 설치 프로세스를 진행합니다.

다음으로 설치 유형으로 새 기본 서버를 선택하고 다음 버튼을 클릭하여 계속 진행합니다.

이제 모든 중요한 바이너리 위치와 버전이 Cacti 설치 프로그램에 의해 올바르게 감지되었는지 확인합니다. 또한 Spine 바이너리 경로를 /usr/local/spine/bin/spine로 업데이트해야 합니다. 클래식 테마를 선택하고 다음 버튼을 클릭하여 계속 진행합니다.

다음 화면에서 설치 프로그램은 Apache 웹 루트 디렉토리 권한을 확인하여 웹 서버가 Cacti 설치 경로에 쓰기를 허용하는지 확인합니다. 필요한 모든 경로가 쓰기 가능하면 다음 버튼을 클릭하여 계속 진행합니다.

제공된 목록에서 모든 템플릿을 선택하고 설치를 완료하기 위해 완료 버튼을 클릭합니다.

설치 프로세스를 완료한 후, 다음 기본 자격 증명으로 Cacti 웹 인터페이스에 로그인하고 admin 기본 비밀번호를 새 강력한 비밀번호로 변경합니다. 아래 스크린샷과 같이.

사용자 이름: admin 비밀번호: admin

Cacti 웹 인터페이스에 로그인한 후, 콘솔 -> 구성 -> 설정 -> 폴러로 이동하여 폴러 유형을 cmd.php에서 spine 바이너리로 변경합니다. 아래 이미지와 같이. 아래로 스크롤하여 저장 버튼을 클릭하여 변경 사항을 적용합니다.

그런 다음 콘솔 -> 구성 -> 설정 -> 경로로 이동하여 Cacti-Spine을 업데이트하고 구성 파일 경로를 다음 경로 /usr/local/spine/etc/spine.conf로 설정하고 저장 버튼을 클릭하여 구성을 적용합니다. 아래 이미지와 같이.

SNMP를 통해 모니터링할 새 장치를 추가하려면 콘솔 -> 관리 -> 장치로 이동하고 + 아이콘을 클릭합니다. 아래 이미지와 같이. 시연 목적으로, Cacti가 SNMP 프로토콜을 통해 모니터링할 localhost 머신을 추가합니다.

SNMP를 통해 모니터링할 새로 추가된 Linux 장치에 대해 장치 설명, 호스트 이름, FQDN 또는 모니터링할 장치의 IP 주소를 추가하고 장치 템플릿으로 Local Linux Machine을 선택합니다. SNMP 옵션에서 적절한 SNMP 버전을 선택하고(이 경우 버전 2를 사용) 장치 SNMP 커뮤니티 문자열을 입력합니다. 아래 이미지와 같이. SNMP 포트가 변경되지 않은 경우 포트 값을 기본값으로 두고, 완료되면 아래로 스크롤하여 생성 버튼을 클릭하여 장치를 Cacti 데이터베이스에 추가합니다.

장치가 Cacti 데이터베이스에 추가되면 장치 페이지 상단에 SNMP 요약이 표시됩니다. 장치가 제대로 감지되고 쿼리되었는지 확인합니다. 이 장치에 대한 RRDTool SNMP 그래프를 생성하려면 이 장치에 대한 그래프 생성 링크를 클릭하고 추가로 검토할 그래프 템플릿을 선택한 후 생성 버튼을 클릭하여 다음 화면으로 이동합니다. 그런 다음 다시 생성 버튼을 클릭하여 완료합니다. 아래 이미지와 같이.

그래프를 시각화하려면 콘솔 -> 관리 -> 장치로 이동하여 추가 작업을 수행할 장치를 선택하고 작업 메뉴에서 기본 트리(기본 트리)에 배치합니다.

새 화면에서 대상 분기를 기본값으로 두고 계속 버튼을 클릭하여 프로세스를 완료합니다. 아래 이미지와 같이.

마지막으로, Cacti 폴러가 모니터링된 장치에 대한 데이터를 수집하기 시작하려면, 장치를 SNMP를 통해 5분마다 쿼리하는 새 cron 작업을 추가해야 합니다. 아래 명령을 실행하여 Apache 런타임 사용자에 의해 소유되고 실행되도록 예약된 작업을 추가합니다.

crontab –u www-data –e

Crontab 작업 줄:

*/5 * * * * /usr/bin/php /var/www/html/poller.php > /var/www/html/log/cron.log 2>&1

풀러 cronjob을 추가한 후, Cacti가 데이터를 수집할 시간을 주기 위해 약 30분을 기다린 다음 Cacti 웹 인터페이스의 그래프 탭으로 이동합니다. 기본 트리를 확장하면 모니터링된 머신에서 수집된 그래프가 아래 스크린샷과 같이 표시됩니다.

현재 Cacti 인터페이스는 클라이언트의 브라우저에서 HTTP 프로토콜을 통해 안전하지 않은 방식으로 액세스할 수 있습니다. 장치에 대한 모든 민감한 정보와 Cacti 로그인 자격 증명은 일반 텍스트로 전송됩니다. 클라이언트의 브라우저와 Cacti 웹 인터페이스 간의 트래픽을 암호화하려면, 아래 명령을 루트 권한으로 실행하여 Apache SSL 구성을 활성화합니다.

a2enmod ssl

a2ensite default-ssl.conf

systemctl restart apache2

그런 다음 HTTPS 프로토콜을 통해 Cacti 웹 인터페이스로 이동합니다. Apache 웹 서버는 연결을 암호화하기 위해 자체 서명된 인증서를 사용하므로 브라우저에 오류 메시지가 표시됩니다. 오류를 수락하면 이제 아래 스크린샷과 같이 Cacti 웹 인터페이스에 안전하게 액세스할 수 있습니다.

그게 다입니다! Debian 9에서 소스에서 Cacti를 성공적으로 설치하고 구성했습니다. Cacti에 대한 기타 사용자 지정 설정은 다음 링크의 문서 페이지를 방문하십시오. https://docs.cacti.net/manual:100