Перейти к содержанию

Доступные метрики

Формат метрик

Метрики collectd имеют следующий формат:

host/plugin[-plugin_instance]/type[-type_instance]

Более подробное описание формата доступно по ссылке.

Примечание

  • В списке метрик ниже параметр host/ опущен.
  • При использовании утилиты collectd_nagios параметр host/ опускается. Имя хоста задается отдельно с помощью параметра -H (подробнее об использовании утилиты).

Типы метрик Валарм

Валарм использует типы метрик, перечисленные ниже. Тип указывается в параметре type метрики.

  • gauge — числовое значение измеряемой величины. Значение может увеличиваться и уменьшаться.

  • derive — скорость изменения значения измеряемой величины с момента предыдущего измерения значения (производная величина). Значение может увеличиваться и уменьшаться.

  • counter — числовое значение измеряемой величины. Значение может только увеличиваться.

Метрики NGINX и модуля Валарм для NGINX

Количество запросов

Количество запросов, обработанных с момента установки WAF‑ноды.

  • Величина: curl_json-wallarm_nginx/gauge-requests

  • Значение величины:

  • Скорость изменения: curl_json-wallarm_nginx/derive-requests

  • Рекомендации при отклонении значений:
    1. Проверьте корректность настроек WAF‑ноды.
    2. Проверьте работоспособность WAF‑ноды, как описано в инструкции. После одной тестовой атаки значение должно увеличиться на 1.

Количество атак

Количество атак, зафиксированных WAF‑нодой с момента установки.

  • Величина: curl_json-wallarm_nginx/gauge-attacks

  • Значение величины:

  • Скорость изменения: curl_json-wallarm_nginx/derive-attacks

  • Рекомендации при отклонении значений:
    1. Проверьте корректность настроек WAF‑ноды.
    2. Проверьте работоспособность WAF‑ноды, как описано в инструкции. После одной тестовой атаки значение должно увеличиться на 1.

Количество заблокированных запросов

Количество запросов, заблокированных WAF‑нодой с момента установки. Метрика записывается, если нода находится в режиме block.

  • Величина: curl_json-wallarm_nginx/gauge-blocked

  • Значение величины:

  • Скорость изменения: curl_json-wallarm_nginx/derive-blocked

  • Рекомендации при отклонении значений:

    1. Проверьте настройки WAF‑ноды и статус block.
    2. Проверьте работоспособность WAF‑ноды, как описано в инструкции. После одной тестовой атаки значение должно увеличиться на 1.

Количество нетипичных запросов

Количество запросов, нетипичных для приложения. Временно в метрику записываются все запросы, обработанные WAF‑нодой (gauge-requests).

  • Величина: curl_json-wallarm_nginx/gauge-abnormal

  • Значение величины: временно равно gauge-requests

  • Скорость изменения: curl_json-wallarm_nginx/derive-abnormal

  • Рекомендации при отклонении значений: временно не имеют значения

Количество потерянных запросов

Количество запросов, которые не были проанализированы модулем постаналитики или не были переданы в Валарм API. К запросам применяются правила блокировки, но запросы не отображаются в интерфейсе Личного кабинета и не учитываются при проверке следующих запросов. Значение параметра формируется из суммы tnt_errors и api_errors.

  • Величина: curl_json-wallarm_nginx/gauge-requests_lost

  • Значение величины: 0, формируется из суммы tnt_errors и api_errors

  • Скорость изменения: curl_json-wallarm_nginx/derive-requests_lost

  • Рекомендации при отклонении значений: проверьте значения tnt_errors и api_errors, следуйте описанным рекомендациям ниже

Количество потерянных запросов: модуль постаналитики

Количество запросов, которые не были проанализированы модулем постаналитики. Метрика записывается, если все запросы отправляются в модуль постаналитики (wallarm_upstream_backend tarantool). К запросам применяются правила блокировки, но запросы не отображаются в интерфейсе Личного кабинета и не учитываются при проверке следующих запросов.

  • Величина: curl_json-wallarm_nginx/gauge-tnt_errors

  • Значение величины: 0

  • Скорость изменения: curl_json-wallarm_nginx/derive-tnt_errors

  • Рекомендации при отклонении значений:

Количество потерянных запросов: Валарм API

Количество запросов, которые не были переданы в Валарм API. Метрика записывается, если все запросы отправляются в API (wallarm_upstream_backend api). К запросам применяются правила блокировки, но запросы не отображаются в интерфейсе Личного кабинета и не учитываются при проверке следующих запросов.

  • Величина: curl_json-wallarm_nginx/gauge-api_errors

  • Значение величины: 0

  • Скорость изменения: curl_json-wallarm_nginx/derive-api_errors

  • Рекомендации при отклонении значений:

Количество проблем при завершении рабочего процесса NGINX

Количество проблем, которые привели к некорректному завершению рабочего процесса NGINX. Чаще всего причиной является критичная ошибка в работе NGINX.

  • Величина: curl_json-wallarm_nginx/gauge-segfaults

  • Значение величины: 0

  • Скорость изменения: curl_json-wallarm_nginx/derive-segfaults

  • Рекомендации при отклонении значений:

    1. Соберите информацию о текущем состоянии, используя скрипт /usr/share/wallarm-common/collect-info.sh.
    2. Передайте сгенерированный файл в службу поддержки Валарм.

Количество превышений размера виртуальной памяти

Количество ситуаций, когда был превышен размер виртуальной памяти.

  • Величина:

    • curl_json-wallarm_nginx/gauge-memfaults при превышении памяти в вашей системе
    • curl_json-wallarm_nginx/gauge-softmemfaults при превышении памяти для экземпляра proton.db+lom (wallarm_ts_request_memory_limit)
  • Значение величины: 0

  • Скорость изменения:
    • curl_json-wallarm_nginx/derive-memfaults для curl_json‑wallarm_nginx/gauge‑memfaults
    • curl_json-wallarm_nginx/derive-softmemfaults для curl_json‑wallarm_nginx/gauge‑softmemfaults
  • Рекомендации при отклонении значений:
    1. Соберите информацию о текущем состоянии, используя скрипт /usr/share/wallarm-common/collect-info.sh.
    2. Передайте сгенерированный файл в службу поддержки Валарм.

Время анализа запросов (в секундах)

Время, потраченное WAF‑нодой на анализ запросов с момента установки.

  • Величина: curl_json-wallarm_nginx/gauge-time_detect

  • Значение величины: >0

  • Скорость изменения: curl_json-wallarm_nginx/derive-time_detect

  • Рекомендации при отклонении значений:
    1. Проверьте корректность настроек WAF‑ноды.
    2. Проверьте работоспособность WAF‑ноды, как описано в инструкции. После одной тестовой атаки значение должно увеличиться на 1.

Версия proton.db

Версия подключенной proton.db.

  • Величина: curl_json-wallarm_nginx/gauge-db_id

  • Значение величины: ограничений нет

Версия ЛОМ

Версия подключенного ЛОМ.

  • Величина: curl_json-wallarm_nginx/gauge-lom_id

  • Значение величины: ограничений нет

Экземпляры proton.db и ЛОМ

Количество экземпляров proton.db и ЛОМ

Количество подключенных экземпляров proton.db и ЛОМ.

  • Величина: curl_json-wallarm_nginx/gauge-proton_instances-total

  • Значение величины: >0

  • Рекомендации при отклонении значений:

Количество успешно загруженных экземпляров proton.db и ЛОМ

Количество экземпляров proton.db и ЛОМ, которые были успешно прочитаны и загружены.

  • Величина: curl_json-wallarm_nginx/gauge-proton_instances-success

  • Значение величины: >0

  • Рекомендации при отклонении значений:

Количество экземпляров proton.db и ЛОМ из последних сохраненных файлов

Количество экземпляров proton.db и ЛОМ из последних сохраненных файлов. В сохраненные файлы записываются последние успешно загруженные экземпляры. Если экземпляры обновились, но их не удалось загрузить, используются данные из сохраненных файлов.

  • Величина: curl_json-wallarm_nginx/gauge-proton_instances-fallback

  • Значение величины: >0

  • Рекомендации при отклонении значений:

Количество неактивных экземпляров proton.db и ЛОМ

Количество подключенных экземпляров proton.db и ЛОМ, которые не удалось прочитать.

  • Величина: curl_json-wallarm_nginx/gauge-proton_instances-failed

  • Значение величины: 0

  • Рекомендации при отклонении значений:

Метрики модуля постаналитики

Идентификатор последнего обработанного запроса

ID последнего обработанного запроса. Значение может как увеличиваться, так и уменьшаться.

  • Величина:

    • wallarm-tarantool/counter-last_request_id, если значение увеличилось
    • wallarm-tarantool/gauge-last_request_id, если значение уменьшилось
  • Значение величины: нет ограничений

  • Рекомендации при отклонении значений: если при поступающих запросах значение не изменяется, проверьте корректность настроек WAF‑ноды

Удаление запросов

Признак удаления запросов

Флаг, сигнализирующий об удалении из модуля постаналитики запросов, которые содержат атаки и не отправлены в облако.

  • Величина: wallarm-tarantool/gauge-export_drops_flag

  • Значение величины:

    • 0, если запросы не удаляются
    • 1, если запросы удаляются (сигнализирует о недостаточном объеме памяти, необходимо следовать рекомендациям ниже)
  • Рекомендации при отклонении значений:

Количество удаленных запросов

Количество удаленных запросов, которые содержат атаки и не отправлены в облако. Количество атак в запросе не влияет на значение показателя. Метрика записывается, если wallarm-tarantool/gauge-export_drops_flag: 1.

При настройке уведомлений мониторинга рекомендуется отслеживать значение метрики wallarm-tarantool/gauge-export_drops_flag.

  • Величина: wallarm-tarantool/gauge-export_drops

  • Значение величины: 0

  • Скорость изменения: wallarm-tarantool/derive-export_drops

  • Рекомендации при отклонении значений:

Задержка экспорта запросов (в секундах)

Задержка между записью запроса модулем постаналитики и выгрузкой информации об обнаруженных атаках в облако Валарм.

  • Величина: wallarm-tarantool/gauge-export_delay

  • Значение величины:

    • оптимальное <60
    • предупреждающее >60
    • критичное >300
  • Рекомендации при отклонении значений:
    • Проверьте логи в файле /var/log/wallarm/export-attacks.log и проанализируйте записанные ошибки. Увеличение значения может быть вызвано проблемами с пропускной способностью Валарм API: проблемы соединения с API, большое количество атак.
    • Убедитесь, что Tarantool хватает выделенной памяти (wallarm_ts_request_memory_limit). При превышении памяти также изменяется метрика tnt_errors.

Время хранения запросов в модуле постаналитики (в секундах)

Время, в течение которого модуль постаналитики хранит запросы. Значение зависит от количества выделенной памяти, размера и характера обрабатываемых HTTP‑запросов. Чем меньше значение, тем хуже работают алгоритмы обнаружения, которым необходим доступ к историческим данным. В результате злоумышленник может выполнять атаки перебора быстрее, оставаясь незамеченным. При этом будет получено меньше данных об истории поведения атакующего.

  • Величина: wallarm-tarantool/gauge-timeframe_size

  • Значение величины:

    • оптимальное >900
    • предупреждающее <900
    • критичное <300
  • Рекомендации при отклонении значений: