Доступные метрики¶

• Формат метрик

• Типы метрик Вебмониторэкс

• Список метрик NGINX и модуля Вебмониторэкс для NGINX

• Список метрик модуля постаналитики

Формат метрик¶

Метрики collectd имеют следующий формат:

host/plugin[-plugin_instance]/type[-type_instance]

Более подробное описание формата доступно по ссылке.

Типы метрик Вебмониторэкс¶

Вебмониторэкс использует типы метрик, перечисленные ниже. Тип указывается в параметре type метрики.

• gauge — числовое значение измеряемой величины. Значение может увеличиваться и уменьшаться.

• derive — скорость изменения значения измеряемой величины с момента предыдущего измерения значения (производная величина). Значение может увеличиваться и уменьшаться.

• counter — числовое значение измеряемой величины. Значение может только увеличиваться.

Метрики NGINX и модуля Вебмониторэкс для NGINX¶

Количество запросов¶

Количество запросов, обработанных с момента установки ноды Вебмониторэкс.

• Величина: curl_json-wallarm_nginx/gauge-abnormal

• Значение величины:

  • 0 для режима off
  • >0 для режима monitoring/safe_blocking/block

• Рекомендации при отклонении значений: временно не имеют значения

  1. Проверьте корректность настроек ноды Вебмониторэкс.
  2. Проверьте работоспособность ноды, как описано в инструкции. После одной тестовой атаки значение должно увеличиться на 1.

Количество потерянных запросов¶

Количество запросов, которые не были проанализированы модулем постаналитики или не были переданы в Вебмониторэкс API. К запросам применяются правила блокировки, но запросы не отображаются в интерфейсе Личного кабинета и не учитываются при проверке следующих запросов. Значение параметра формируется из суммы tnt_errors и api_errors.

• Величина: curl_json-wallarm_nginx/gauge-requests_lost

• Значение величины: 0, формируется из суммы tnt_errors и api_errors

• Рекомендации при отклонении значений: проверьте значения tnt_errors и api_errors, следуйте описанным рекомендациям ниже

Количество потерянных запросов: модуль постаналитики¶

Количество запросов, которые не были проанализированы модулем постаналитики. Метрика записывается, если все запросы отправляются в модуль постаналитики (wallarm_upstream_backend tarantool). К запросам применяются правила блокировки, но запросы не отображаются в интерфейсе Личного кабинета и не учитываются при проверке следующих запросов.

• Величина: curl_json-wallarm_nginx/gauge-tnt_errors

• Значение величины: 0

• Рекомендации при отклонении значений:

  • Проверьте логи NGINX и Tarantool, проанализируйте записанные ошибки.
  • Проверьте корректность указанного сервера Tarantool (wallarm_tarantool_upstream).
  • Убедитесь, что Tarantool хватает выделенной памяти.
  • Обратитесь в службу поддержки Вебмониторэкс, если не удалось решить проблему.

Количество потерянных запросов: Вебмониторэкс API¶

Количество запросов, которые не были переданы в Вебмониторэкс API. Метрика записывается, если все запросы отправляются в API (wallarm_upstream_backend api). К запросам применяются правила блокировки, но запросы не отображаются в интерфейсе Личного кабинета и не учитываются при проверке следующих запросов.

• Величина: curl_json-wallarm_nginx/gauge-api_errors

• Значение величины: 0

• Рекомендации при отклонении значений:

  • Проверьте логи NGINX и проанализируйте записанные ошибки.
  • Проверьте корректность настроек API (wallarm_api_conf).
  • Убедитесь, что Tarantool хватает выделенной памяти.
  • Обратитесь в службу поддержки Вебмониторэкс, если не удалось решить проблему.

Количество проблем при завершении рабочего процесса NGINX¶

Количество проблем, которые привели к некорректному завершению рабочего процесса NGINX. Чаще всего причиной является критичная ошибка в работе NGINX.

• Величина: curl_json-wallarm_nginx/gauge-segfaults

• Значение величины: 0

• Рекомендации при отклонении значений:

  1. Соберите информацию о текущем состоянии, используя скрипт /usr/share/wallarm-common/collect-info.sh.
  2. Передайте сгенерированный файл в службу поддержки Вебмониторэкс.

Количество превышений размера виртуальной памяти¶

Количество ситуаций, когда был превышен размер виртуальной памяти.

• Величина:

  • curl_json-wallarm_nginx/gauge-memfaults при превышении памяти в вашей системе
  • curl_json-wallarm_nginx/gauge-softmemfaults при превышении памяти для экземпляра proton.db+lom (wallarm_general_ruleset_memory_limit)

• Значение величины: 0

• Рекомендации при отклонении значений:
  1. Соберите информацию о текущем состоянии, используя скрипт /usr/share/wallarm-common/collect-info.sh.
  2. Передайте сгенерированный файл в службу поддержки Вебмониторэкс.

Количество ошибок в работе proton.db¶

Количество ошибок в работе proton.db, за исключением ошибок, связанных с превышением размера виртуальной памяти.

• Величина: curl_json-wallarm_nginx/gauge-proton_errors

• Значение величины: 0

• Рекомендации при отклонении значений:
  1. Скопируйте номер ошибки из логов NGINX (wallarm: proton error: <ERROR_NUMBER>).
  2. Соберите информацию о текущем состоянии, используя скрипт /usr/share/wallarm-common/collect-info.sh.
  3. Передайте данные в службу поддержки Вебмониторэкс.

Версия proton.db¶

Версия подключенной proton.db.

• Величина: curl_json-wallarm_nginx/gauge-db_id

• Значение величины: ограничений нет

Время последнего обновления файла proton.db¶

Unix‑время последнего обновления файла proton.db.

• Величина: curl_json-wallarm_nginx/gauge-db_apply_time

• Значение величины: ограничений нет

Версия индивидуального набора правил (предыдущий термин — ЛОМ)¶

Версия подключенного индивидуального набора правил.

• Величина: curl_json-wallarm_nginx/gauge-custom_ruleset_id

  (До версии ноды 3.6 — curl_json-wallarm_nginx/gauge-lom_id. Устаревшая метрика все еще собирается, но скоро ее поддержка прекратится.)

• Значение величины: ограничений нет

Время последнего обновления индивидуального набора правил (предыдущий термин — ЛОМ)¶

Unix‑время последнего обновления файла с индивидуальным набором правил.

• Величина: curl_json-wallarm_nginx/gauge-custom_ruleset_apply_time

  (До версии ноды 3.6 — curl_json-wallarm_nginx/gauge-lom_apply_time. Устаревшая метрика все еще собирается, но скоро ее поддержка прекратится.)

• Значение величины: ограничений нет

Экземпляры proton.db и индивидуальный набор правил (предыдущий термин — ЛОМ)¶

Количество экземпляров proton.db и индивидуальный набор правил¶

Количество подключенных экземпляров proton.db и индивидуальный набор правил.

• Величина: curl_json-wallarm_nginx/gauge-proton_instances-total

• Значение величины: >0

• Рекомендации при отклонении значений:
  • Проверьте корректность настроек WAF‑ноды.
  • Проверьте корректность пути до файла proton.db (wallarm_protondb_path).
  • Проверьте корректность пути до файла индивидуального набора правил (wallarm_custom_ruleset_path).

Количество успешно загруженных экземпляров proton.db и индивидуальный набор правил¶

Количество экземпляров proton.db и индивидуальный набор правил, которые были успешно прочитаны и загружены.

• Величина: curl_json-wallarm_nginx/gauge-proton_instances-success

• Значение величины: >0

• Рекомендации при отклонении значений:

  • Проверьте корректность настроек WAF‑ноды.
  • Проверьте корректность пути до файла proton.db (wallarm_protondb_path).
  • Проверьте корректность пути до файла индивидуального набора правил (wallarm_custom_ruleset_path).

Количество экземпляров proton.db и индивидуальных наборов правил из последних сохраненных файлов¶

Количество экземпляров proton.db и индивидуальных наборов правил из последних сохраненных файлов. В сохраненные файлы записываются последние успешно загруженные экземпляры. Если экземпляры обновились, но их не удалось загрузить, используются данные из сохраненных файлов.

• Величина: curl_json-wallarm_nginx/gauge-proton_instances-fallback

• Значение величины: >0

• Рекомендации при отклонении значений:

  • Проверьте корректность настроек WAF‑ноды.
  • Проверьте корректность пути до файла proton.db (wallarm_protondb_path).
  • Проверьте корректность пути до файла индивидуального набора правил (wallarm_custom_ruleset_path).

Количество неактивных экземпляров proton.db и индивидуальных наборов правил¶

Количество подключенных экземпляров proton.db и индивидуальных наборов правил, которые не удалось прочитать.

• Величина: curl_json-wallarm_nginx/gauge-proton_instances-failed

• Значение величины: 0

• Рекомендации при отклонении значений:
  • Проверьте корректность настроек WAF‑ноды.
  • Проверьте корректность пути до файла proton.db (wallarm_protondb_path).
  • Проверьте корректность пути до файла индивидуального набора правил (wallarm_custom_ruleset_path).

Метрики модуля постаналитики¶

Идентификатор последнего обработанного запроса¶

ID последнего обработанного запроса. Значение может как увеличиваться, так и уменьшаться.

• Величина:

  • wallarm-tarantool/counter-last_request_id, если значение увеличилось
  • wallarm-tarantool/gauge-last_request_id, если значение уменьшилось

• Значение величины: нет ограничений

• Рекомендации при отклонении значений: если при поступающих запросах значение не изменяется, проверьте корректность настроек WAF‑ноды

Удаление запросов¶

Признак удаления запросов¶

Флаг, сигнализирующий об удалении из модуля постаналитики запросов, которые содержат атаки и не отправлены в вычислительный кластер.

• Величина: wallarm-tarantool/gauge-export_drops_flag

• Значение величины:

  • 0, если запросы не удаляются
  • 1, если запросы удаляются (сигнализирует о недостаточном объеме памяти, необходимо следовать рекомендациям ниже)
• Рекомендации при отклонении значений:
  • Выделите больше памяти для Tarantool.
  • Установите модуль постаналитики на отдельный сервер, как описано в инструкции.

Количество удаленных запросов¶

Количество удаленных запросов, которые содержат атаки и не отправлены в вычислительный кластер. Количество атак в запросе не влияет на значение показателя. Метрика записывается, если wallarm-tarantool/gauge-export_drops_flag: 1.

При настройке уведомлений мониторинга рекомендуется отслеживать значение метрики wallarm-tarantool/gauge-export_drops_flag.

• Величина: wallarm-tarantool/gauge-export_drops

• Значение величины: 0

• Скорость изменения: wallarm-tarantool/derive-export_drops

• Рекомендации при отклонении значений:
  • Выделите больше памяти для Tarantool.
  • Установите модуль постаналитики на отдельный сервер, как описано в инструкции.

Задержка экспорта запросов (в секундах)¶

Задержка между записью запроса модулем постаналитики и выгрузкой информации об обнаруженных атаках в вычислительный кластер Вебмониторэкс.

• Величина: wallarm-tarantool/gauge-export_delay

• Значение величины:

  • оптимальное <60
  • предупреждающее >60
  • критичное >300
• Рекомендации при отклонении значений:
  • Проверьте логи в файле /var/log/wallarm/export-attacks.log и проанализируйте записанные ошибки. Увеличение значения может быть вызвано проблемами с пропускной способностью Вебмониторэкс API: проблемы соединения с API, большое количество атак.
  • Убедитесь, что Tarantool хватает выделенной памяти. При превышении памяти также изменяется метрика tnt_errors.

Время хранения запросов в модуле постаналитики (в секундах)¶

Время, в течение которого модуль постаналитики хранит запросы. Значение зависит от количества выделенной памяти, размера и характера обрабатываемых HTTP‑запросов. Чем меньше значение, тем хуже работают алгоритмы обнаружения, которым необходим доступ к историческим данным. В результате злоумышленник может выполнять атаки перебора быстрее, оставаясь незамеченным. При этом будет получено меньше данных об истории поведения атакующего.

• Величина: wallarm-tarantool/gauge-timeframe_size

• Значение величины:

  • оптимальное >900
  • предупреждающее <900
  • критичное <300
• Рекомендации при отклонении значений:
  • Выделите больше памяти для Tarantool.
  • Установите модуль постаналитики на отдельный сервер, как описано в инструкции.