Доступные метрики¶
Критические изменения в наборе метрик
Начиная с версии 4.0, недоступны следующие метрики:
curl_json-wallarm_nginx/gauge-requests
— вы можете использовать аналогичную метрику,curl_json-wallarm_nginx/gauge-abnormal
curl_json-wallarm_nginx/gauge-attacks
curl_json-wallarm_nginx/gauge-blocked
curl_json-wallarm_nginx/gauge-time_detect
curl_json-wallarm_nginx/derive-requests
curl_json-wallarm_nginx/derive-attacks
curl_json-wallarm_nginx/derive-blocked
curl_json-wallarm_nginx/derive-abnormal
curl_json-wallarm_nginx/derive-requests_lost
curl_json-wallarm_nginx/derive-tnt_errors
curl_json-wallarm_nginx/derive-api_errors
curl_json-wallarm_nginx/derive-segfaults
curl_json-wallarm_nginx/derive-memfaults
curl_json-wallarm_nginx/derive-softmemfaults
curl_json-wallarm_nginx/derive-time_detect
Формат метрик¶
Метрики collectd
имеют следующий формат:
host/plugin[-plugin_instance]/type[-type_instance]
Более подробное описание формата доступно по ссылке.
Примечание
- В списке метрик ниже параметр
host/
опущен. - При использовании утилиты
collectd_nagios
параметрhost/
опускается. Имя хоста задается отдельно с помощью параметра-H
(подробнее об использовании утилиты).
Типы метрик Вебмониторэкс¶
Вебмониторэкс использует типы метрик, перечисленные ниже. Тип указывается в параметре type
метрики.
-
gauge
— числовое значение измеряемой величины. Значение может увеличиваться и уменьшаться. -
derive
— скорость изменения значения измеряемой величины с момента предыдущего измерения значения (производная величина). Значение может увеличиваться и уменьшаться. -
counter
— числовое значение измеряемой величины. Значение может только увеличиваться.
Метрики NGINX и модуля Вебмониторэкс для NGINX¶
Количество запросов¶
Количество запросов, обработанных с момента установки ноды Вебмониторэкс.
- Величина:
curl_json-wallarm_nginx/gauge-abnormal
-
Значение величины:
-
Рекомендации при отклонении значений: временно не имеют значения
- Проверьте корректность настроек ноды Вебмониторэкс.
- Проверьте работоспособность ноды, как описано в инструкции. После одной тестовой атаки значение должно увеличиться на
1
.
Количество потерянных запросов¶
Количество запросов, которые не были проанализированы модулем постаналитики или не были переданы в Вебмониторэкс API. К запросам применяются правила блокировки, но запросы не отображаются в интерфейсе Личного кабинета и не учитываются при проверке следующих запросов. Значение параметра формируется из суммы tnt_errors
и api_errors
.
-
Величина:
curl_json-wallarm_nginx/gauge-requests_lost
-
Значение величины:
0
, формируется из суммыtnt_errors
иapi_errors
-
Рекомендации при отклонении значений: проверьте значения
tnt_errors
иapi_errors
, следуйте описанным рекомендациям ниже
Количество потерянных запросов: модуль постаналитики¶
Количество запросов, которые не были проанализированы модулем постаналитики. Метрика записывается, если все запросы отправляются в модуль постаналитики (wallarm_upstream_backend tarantool
). К запросам применяются правила блокировки, но запросы не отображаются в интерфейсе Личного кабинета и не учитываются при проверке следующих запросов.
-
Величина:
curl_json-wallarm_nginx/gauge-tnt_errors
-
Значение величины:
0
-
Рекомендации при отклонении значений:
- Проверьте логи NGINX и Tarantool, проанализируйте записанные ошибки.
- Проверьте корректность указанного сервера Tarantool (
wallarm_tarantool_upstream
). - Убедитесь, что Tarantool хватает выделенной памяти.
- Обратитесь в службу поддержки Вебмониторэкс, если не удалось решить проблему.
Количество потерянных запросов: Вебмониторэкс API¶
Количество запросов, которые не были переданы в Вебмониторэкс API. Метрика записывается, если все запросы отправляются в API (wallarm_upstream_backend api
). К запросам применяются правила блокировки, но запросы не отображаются в интерфейсе Личного кабинета и не учитываются при проверке следующих запросов.
-
Величина:
curl_json-wallarm_nginx/gauge-api_errors
-
Значение величины:
0
-
Рекомендации при отклонении значений:
- Проверьте логи NGINX и проанализируйте записанные ошибки.
- Проверьте корректность настроек API (
wallarm_api_conf
). - Убедитесь, что Tarantool хватает выделенной памяти.
- Обратитесь в службу поддержки Вебмониторэкс, если не удалось решить проблему.
Количество проблем при завершении рабочего процесса NGINX¶
Количество проблем, которые привели к некорректному завершению рабочего процесса NGINX. Чаще всего причиной является критичная ошибка в работе NGINX.
-
Величина:
curl_json-wallarm_nginx/gauge-segfaults
-
Значение величины:
0
-
Рекомендации при отклонении значений:
- Соберите информацию о текущем состоянии, используя скрипт
/usr/share/wallarm-common/collect-info.sh
. - Передайте сгенерированный файл в службу поддержки Вебмониторэкс.
- Соберите информацию о текущем состоянии, используя скрипт
Количество превышений размера виртуальной памяти¶
Количество ситуаций, когда был превышен размер виртуальной памяти.
-
Величина:
curl_json-wallarm_nginx/gauge-memfaults
при превышении памяти в вашей системеcurl_json-wallarm_nginx/gauge-softmemfaults
при превышении памяти для экземпляра proton.db+lom (wallarm_general_ruleset_memory_limit
)
-
Значение величины:
0
- Рекомендации при отклонении значений:
- Соберите информацию о текущем состоянии, используя скрипт
/usr/share/wallarm-common/collect-info.sh
. - Передайте сгенерированный файл в службу поддержки Вебмониторэкс.
- Соберите информацию о текущем состоянии, используя скрипт
Количество ошибок в работе proton.db¶
Количество ошибок в работе proton.db, за исключением ошибок, связанных с превышением размера виртуальной памяти.
-
Величина:
curl_json-wallarm_nginx/gauge-proton_errors
-
Значение величины:
0
- Рекомендации при отклонении значений:
- Скопируйте номер ошибки из логов NGINX (
wallarm: proton error: <ERROR_NUMBER>
). - Соберите информацию о текущем состоянии, используя скрипт
/usr/share/wallarm-common/collect-info.sh
. - Передайте данные в службу поддержки Вебмониторэкс.
- Скопируйте номер ошибки из логов NGINX (
Версия proton.db¶
Версия подключенной proton.db.
-
Величина:
curl_json-wallarm_nginx/gauge-db_id
-
Значение величины: ограничений нет
Время последнего обновления файла proton.db¶
Unix‑время последнего обновления файла proton.db.
-
Величина:
curl_json-wallarm_nginx/gauge-db_apply_time
-
Значение величины: ограничений нет
Версия индивидуального набора правил (предыдущий термин — ЛОМ)¶
Версия подключенного индивидуального набора правил.
-
Величина:
curl_json-wallarm_nginx/gauge-custom_ruleset_id
(До версии ноды 3.6 —
curl_json-wallarm_nginx/gauge-lom_id
. Устаревшая метрика все еще собирается, но скоро ее поддержка прекратится.) -
Значение величины: ограничений нет
Время последнего обновления индивидуального набора правил (предыдущий термин — ЛОМ)¶
Unix‑время последнего обновления файла с индивидуальным набором правил.
-
Величина:
curl_json-wallarm_nginx/gauge-custom_ruleset_apply_time
(До версии ноды 3.6 —
curl_json-wallarm_nginx/gauge-lom_apply_time
. Устаревшая метрика все еще собирается, но скоро ее поддержка прекратится.) -
Значение величины: ограничений нет
Экземпляры proton.db и индивидуальный набор правил (предыдущий термин — ЛОМ)¶
Количество экземпляров proton.db и индивидуальный набор правил¶
Количество подключенных экземпляров proton.db и индивидуальный набор правил.
-
Величина:
curl_json-wallarm_nginx/gauge-proton_instances-total
-
Значение величины:
>0
- Рекомендации при отклонении значений:
- Проверьте корректность настроек WAF‑ноды.
- Проверьте корректность пути до файла proton.db (
wallarm_protondb_path
). - Проверьте корректность пути до файла индивидуального набора правил (
wallarm_custom_ruleset_path
).
Количество успешно загруженных экземпляров proton.db и индивидуальный набор правил¶
Количество экземпляров proton.db и индивидуальный набор правил, которые были успешно прочитаны и загружены.
-
Величина:
curl_json-wallarm_nginx/gauge-proton_instances-success
-
Значение величины:
>0
-
Рекомендации при отклонении значений:
- Проверьте корректность настроек WAF‑ноды.
- Проверьте корректность пути до файла proton.db (
wallarm_protondb_path
). - Проверьте корректность пути до файла индивидуального набора правил (
wallarm_custom_ruleset_path
).
Количество экземпляров proton.db и индивидуальных наборов правил из последних сохраненных файлов¶
Количество экземпляров proton.db и индивидуальных наборов правил из последних сохраненных файлов. В сохраненные файлы записываются последние успешно загруженные экземпляры. Если экземпляры обновились, но их не удалось загрузить, используются данные из сохраненных файлов.
-
Величина:
curl_json-wallarm_nginx/gauge-proton_instances-fallback
-
Значение величины:
>0
-
Рекомендации при отклонении значений:
- Проверьте корректность настроек WAF‑ноды.
- Проверьте корректность пути до файла proton.db (
wallarm_protondb_path
). - Проверьте корректность пути до файла индивидуального набора правил (
wallarm_custom_ruleset_path
).
Количество неактивных экземпляров proton.db и индивидуальных наборов правил¶
Количество подключенных экземпляров proton.db и индивидуальных наборов правил, которые не удалось прочитать.
-
Величина:
curl_json-wallarm_nginx/gauge-proton_instances-failed
-
Значение величины:
0
- Рекомендации при отклонении значений:
- Проверьте корректность настроек WAF‑ноды.
- Проверьте корректность пути до файла proton.db (
wallarm_protondb_path
). - Проверьте корректность пути до файла индивидуального набора правил (
wallarm_custom_ruleset_path
).
Метрики модуля постаналитики¶
Идентификатор последнего обработанного запроса¶
ID последнего обработанного запроса. Значение может как увеличиваться, так и уменьшаться.
-
Величина:
wallarm-tarantool/counter-last_request_id
, если значение увеличилосьwallarm-tarantool/gauge-last_request_id
, если значение уменьшилось
-
Значение величины: нет ограничений
-
Рекомендации при отклонении значений: если при поступающих запросах значение не изменяется, проверьте корректность настроек WAF‑ноды
Удаление запросов¶
Признак удаления запросов¶
Флаг, сигнализирующий об удалении из модуля постаналитики запросов, которые содержат атаки и не отправлены в вычислительный кластер.
-
Величина:
wallarm-tarantool/gauge-export_drops_flag
-
Значение величины:
0
, если запросы не удаляются1
, если запросы удаляются (сигнализирует о недостаточном объеме памяти, необходимо следовать рекомендациям ниже)
- Рекомендации при отклонении значений:
- Выделите больше памяти для Tarantool.
- Установите модуль постаналитики на отдельный сервер, как описано в инструкции.
Количество удаленных запросов¶
Количество удаленных запросов, которые содержат атаки и не отправлены в вычислительный кластер. Количество атак в запросе не влияет на значение показателя. Метрика записывается, если wallarm-tarantool/gauge-export_drops_flag: 1
.
При настройке уведомлений мониторинга рекомендуется отслеживать значение метрики wallarm-tarantool/gauge-export_drops_flag
.
-
Величина:
wallarm-tarantool/gauge-export_drops
-
Значение величины:
0
-
Скорость изменения:
wallarm-tarantool/derive-export_drops
- Рекомендации при отклонении значений:
- Выделите больше памяти для Tarantool.
- Установите модуль постаналитики на отдельный сервер, как описано в инструкции.
Задержка экспорта запросов (в секундах)¶
Задержка между записью запроса модулем постаналитики и выгрузкой информации об обнаруженных атаках в вычислительный кластер Вебмониторэкс.
-
Величина:
wallarm-tarantool/gauge-export_delay
-
Значение величины:
- оптимальное
<60
- предупреждающее
>60
- критичное
>300
- оптимальное
- Рекомендации при отклонении значений:
- Проверьте логи в файле
/var/log/wallarm/export-attacks.log
и проанализируйте записанные ошибки. Увеличение значения может быть вызвано проблемами с пропускной способностью Вебмониторэкс API: проблемы соединения с API, большое количество атак. - Убедитесь, что Tarantool хватает выделенной памяти. При превышении памяти также изменяется метрика
tnt_errors
.
- Проверьте логи в файле
Время хранения запросов в модуле постаналитики (в секундах)¶
Время, в течение которого модуль постаналитики хранит запросы. Значение зависит от количества выделенной памяти, размера и характера обрабатываемых HTTP‑запросов. Чем меньше значение, тем хуже работают алгоритмы обнаружения, которым необходим доступ к историческим данным. В результате злоумышленник может выполнять атаки перебора быстрее, оставаясь незамеченным. При этом будет получено меньше данных об истории поведения атакующего.
-
Величина:
wallarm-tarantool/gauge-timeframe_size
-
Значение величины:
- оптимальное
>900
- предупреждающее
<900
- критичное
<300
- оптимальное
- Рекомендации при отклонении значений:
- Выделите больше памяти для Tarantool.
- Установите модуль постаналитики на отдельный сервер, как описано в инструкции.