Информация о метриках и логах DosGate

Во время своей работы, Досгейт передает и записывает различные метрики и логи. В этом документе находится информация относящаяся к ним

Collectd

Основной инструмент передачи данных для метрик DosGate – это collectd. Именно в него сам DosGate отправляет данные, дальше по цепочке – они могут быть размещены где угодно. Например, могут попадать в Graphite, Clickhouse, Zabbix, или даже Logstash интегрированный с SIEM

DosGate передает сразу целый ряд метрик по всей своей системе:

  • Статистика на каждую арену. Направление обработки трафика внутри сетевых интерфейсов и всех профилей которые размещены в этой арене
  • Статистика на каждый профиль. Размещенный внутри каждой из арен
  • Статистика каждой метки статистики. Размещенной действием -j STATS до терминального действия (например, до -j DROP), метка статистики позволяет детально изучить по какой причине был сброшен или пропущен выбранный тип сетевых пакетов

Всего DosGate передает 5 значений:

  • drop – сброшенный трафик
  • accept для профиля, transmit для арены – пропущенный трафик (по линии, до конечного получателя)
  • pass – пропущенный трафик до операционной системы
  • reply – ответы досгейта на какой-либо пакет вместо конечного получателя, например, при использовании TCP-авторизации
  • error – сброшенный трафик, который не соответствует IP RFC или другим встроенным проверкам

Каждое значение передается сразу в 2 форматах:

  • bytes (для получения bits нужно умножить в 8 раз) в секунду
  • packets в секунду

Внутри ключевого конфигурационного файла /etc/dosgate.conf также настраивается блок collectd, который отвечает за частоту отправки информации, а также хостнейм.

Сервисы dosgate и dosgate-uh

В зависимости от того с каким типом логирования ошибок Досгейт запущен, он постоянно пишет информацию в service log. Просмотреть ее можно, например, через команду ssh journalctl -xefu dosgate или journalctl -xefu dosgate-uh

Режим логирования может быть запущен в разных состояниях:

  • debug
  • error
  • crit

В зависимости от выбранного состояния, будет отличаться содержимое логов сервиса. В debug режиме – они самые детальные, в них видно любое действие системы в сторону почти каждого сетевого пакета. error – подразумевает демонстрацию только ошибок, а crit – только критических ошибок. Мы рекомендуем использовать режим crit, и следить за состоянием сервиса

Сервисы sp-spider и sp-spider-broker

Если вы используете веб-интерфейс, у вас также будет доступен сервис sp-spider. В нем есть логи относящиеся только к его работе с нодами DosGate, а также – если соединение успешно, он может показывать ошибки от Досгейт в реальном времени в веб-интерфейсе (для удобства, например, когда некорректно сформировано правило и Досгейт его не принимает)