1 2 3 4 Previous Next

THWACK EMEA

90 posts

Getting more ThroughPut out of your Solarwinds Pollers

Have you ever wondered why there is plenty of system resources (CPU/Memory/Network/Disk) on your Solarwinds Poller box but still the throughput is not where you need it to be?

From my years of being a C-Programmer (Sockets) and knowledge of the ISO 7 Layer stack, it was apparent to me that the issue was in the Transport layer.   This post will explain how-to tune the Transport layer to maximize the TCP throughput.

First, to prove this was the case, I wrote a quick Powershell script to list the TCP Connection Counts for each of the Solarwinds Pollers in our monitoring environment.   We were having "unpredictable results" when the Pollers were too busy.   This occurred when the Total TCP connections per poller were in the 12,000 to 15,000 range.    The symptoms of this issue were, like I stated, "Unpredictable Solarwinds results" (i.e. random failures) while there were plenty of resources (CPU/Memory) on the poller box.    That is where my powershell script came in handy to periodically check the TCP Connection counts.    As suspected, the bottleneck was in Layer 4 (the Transport Layer) where the number of TCP connections were not closing quick enough.    By making a simple change (described below) to the TCP settings, it allows the TCP connections to close faster and thus you get a higher TCP throughput and the issue of the "unpredictable results" went away.    Granted, there may be a future time when the TCP connections start to fail again; at which time we may look at purchasing another poller license.   

After the TCP Kernel parameters are changed and you have restarted Solarwinds then run your powershell script for checking the TCP Connection counts again.   You should see a drastic decrease in the number of connections as they are now closing quicker.

Bottom line, if you want to squeeze the most throughput out of a poller, look into tuning your TCP parameters.     This worked for us.   Disclaimer; as with any kernel change you will need to perform your own due deligence and testing for your own environment.

On Windows platforms, if the following tcp parameters are not explicitly defined in the regedit tables then the default values will be used.   If the default timeout is 120 seconds and the maximum number of ports is approximately 4,000, resulting in a maximum rate of 33 connections per second. If your index has four partitions, each search requires four ports, which provides a maximum query rate of 8.3 queries per second.

(maximum ports/timeout period)/number of partitions = maximum query rate

If this rate is exceeded, you may see failures as the supply of TCP/IP ports is exhausted. Symptoms include drops in throughput and errors indicating failed network connections. You can diagnose this problem by observing the system while it is under load, using the netstat utility provided on most operating systems.

Changing the TCP parameters involves two (2) steps:

Step #1: Configure the TCP settings for the server

To set TcpTimedWaitDelay (TIME_WAIT):

  1. Use the regedit command to access the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\TCPIP\Parameters registry subkey.
  2. Create a new REG_DWORD value named TcpTimedWaitDelay.
  3. Set the value to 30.
  4. Stop and restart the system.

NOTE:  TcpTimedWaitDelay will not work unless the StrictTimeWaitSeqCheck is set to 1.

To set MaxUserPort (ephemeral port range):

  1. Use the regedit command to access the HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\TCPIP\Parameters registry subkey.
  2. Create a new REG_DWORD value named MaxUserPort.
  3. Set this value to 32768.
  4. Stop and restart the system.

 

 

Step #2 – Reboot the server

Reboot of server is required after these changes.

Oh, happy days!  After much posting, answering questions and stuff, the day has come, I have finally gotten the coveted THWACK backpack!  This thing is SUPER nice!  It is going to be my everyday carry for sure!  Thanks to everyone like KMSigma and other SolarWinds staffers for providing this great place for us to share ideas and rewarding us with some sweet, sweet, SWAG!

Sascha Giese

Gisec in Dubai

Posted by Sascha Giese Employee Mar 5, 2019

Hi there!

 

SolarWinds is attending GISEC in Dubai between April 1 – 3 this year.
GISEC is the number-one security-focused tech conference in the Middle East, and we’ll be there with our regional distributor Spire.

 

What can you expect from SolarWinds?
Our resident expert Tony Johnson will be there to show you the latest features we’ve added to the Orion® Platform, and how they can help to increase both security and compliance next to help ensure your IT infrastructure is behaving well.
Rumour has it that there might be loads of new features by early April.

Also, you’ll have a chance to meet Venkatesh Ayyala, who works for Spire and lives in Dubai. Venkatesh and his colleagues are providing professional services to SolarWinds customers in the region, from simple configurations to Orion SDK-based customizations.

 

The event itself takes place in the Dubai WTC, which is the same location as GITEX.
If you’ve never been to Dubai, it’s well worth a visit. Last October I took this lovely shot from level 148, only 555 meters above the ground:

 

Enjoy!

 

Guten Tag,

 

SolarWinds ist erfreut, seine Teilnahme an der AFCEA Bonn 2019 bekanntzugeben.

 

Die AFCEA-Fachveranstaltung in Bonn ist das Aushängeschild des AFCEA Bonn e.V.

In diesem Jahr wird die Konferenz am Mittwoch und Donnerstag, den 10. und 11. April 2019, im MARITIM Hotel Bonn abgehalten. Das Thema in diesem Jahr lautet „Smarte Führungsunterstützung im 21. Jahrhundert“.

Das Team von SolarWinds freut sich auf Sie und erwartet Sie am Stand in F53 FOYER III.

 

SolarWinds fuer Regierung:

SolarWinds zeichnet verantwortlich für leistungsstarke und erschwingliche Softwarelösungen für das IT-Management nahezu jeder dem britischen Verteidigungsministerium (MoD) angegliederten Behörde, und auch das Portfolio unserer in Deutschland bereitgestellten Lösungen wächst zunehmend.

 

Seit 20 Jahren liegen uns die Technikexperten, die unsere Produkte nutzen, am Herzen und wir bemühen uns zu verstehen, was ihre Herausforderungen sind und wie sie diesen begegnen möchten.

Wir sind ein führender Hersteller leistungsstarker und erschwinglicher IT-Infrastrukturmanagement-Software. Unsere Produkte bieten Unternehmen jeder Art und Größe weltweit leistungsstarke Tools zum Überwachen und Verwalten der Leistung ihrer IT-Umgebungen, egal wie komplex ihre IT-Infrastruktur ist – ob lokal, in der Cloud oder in hybriden Modellen.

 

Einige unserer wichtigsten Projekte im Auftrag des Verteidigungsministeriums des Vereinigten Königreichs umfassen:

  • Hauptquartier der Landstreitkräfte des Heeres – Andover, Defence Academy of the U.K.
  • Defence College of Technical Training – Lyneham ITESP
  • Ausstattung und Unterstützung der Streitkräfte
  • Royal Air Force: Alconbury, Brize Norton, Croughton
  • Digby, Halton, Henlow
  • Leeming, St. Athan, Waddington
  • Wyton, Ausbildungszentrum der Royal Air Force – Cosford, Royal Navy: HMS Artful
  • HMS Collingwood
  • Worthy Down Army Barracks sowie Rüstungs-MSPs/Systemintegratoren: BT, Airbus, HPE, Atlas Consortium, Centiant, Centerprise, Lockheed Martin, GD-Mission Systems, DXC Technology

Wir freuen uns, Sie kennenzulernen!

 

Kim

Nach vier Monaten wird es mal wieder Zeit über ein Produkt zu schreiben. Wie es der Zufall so will, haben wir auch ein neues Spielzeug im Portfolio:

 

SolarWinds Access Rights Manager

 

Einige von euch kennen das Produkt vielleicht noch unter dem alten Namen 8MAN.

Was genau macht ARM? Und wer kam überhaupt auf diese Abkürzung?

 

Das Werkzeug überprüft Berechtigungen innerhalb von Active Directory, Exchange, Sharepoint sowie Fileservern. Also, wer kann auf was zugreifen, und wo genau kommt die Berechtigung her?

Benutzer, Gruppen und effektive Berechtigungen lassen sich Erstellen, Verändern, oder Löschen.

Berichte und Instant-Analysen runden das Paket ab.

Alles aus einer charmanten Oberfläche und man kann es auch bedienen, wenn man kein Raketenforscher ist.

ARM wird auf einem beliebigen Mitgliedsserver installiert und ist sehr genügsam mit den Systemanforderungen. Das OS sollte mindestens ein 2008SP1 sein, 2 Kerne, 4 Gig Speicher reichen auch produktiv erst einmal aus. Sämtliche Daten werden in einer SQL gespeichert und auch hier passt 2008 oder jünger.

 

Der Installationsvorgang ist schnell erledigt:

 

Zuerst wird die Konfiguration gestartet mit dem rechten Icon.
Die Farbe ist…ja was ist es denn, 04C9D7, also laut Internet „vivid arctic blue“. Nennen wir es einfach Türkis!

 

Ein AD- und ein SQL®-Benutzer muss angelegt, und die Verbindung zur Datenbank eingerichtet werden:

 

ARM ist jetzt verfügbar:

 

Jedoch ist noch keine Quelle definiert, also hängen wir AD ein.
In den Grundeinstellungen nutzt ARM zum Verknüpfen des Verzeichnisses die bereits hinterlegten Anmeldeinformationen.

 

In meinem Beispiel wird das Verzeichnis jeden Abend einmal durchsucht. Bei der ersten Einrichtung bitte manuell auf den Pfeil drücken für einen sofortigen Scan. Nur bitte nicht bei 10 000 Benutzern morgens um Acht Uhr!

Ein Klick auf das Icon in Orange, Entschuldigung, F99D1C, startet dann das richtige Tool.

 

 

Das Login Fenster:

 

Begrüßt werden wir von diesem Dashboard:

 

 

Befassen uns mit der typischen Frage „Wieso kann dieser Schlumpf denn überhaupt auf X  zugreifen?“

Der Hauptgrund dafür ist vermutlich eine verschachtelte Berechtigung, die nicht auf den ersten Blick ersichtlich ist. Aber jetzt kommt ARM ins Spiel.
Klickt einmal auf Accounts und gebt einen Namen in die Suchbox oben ein:

 

Das Resultat ist ein Baumdiagramm mit den Gruppenmitgliedschaften.

Jeder Klick auf ein Element zeigt dann weitere Details an, probiert es einmal aus. Die Grafiken lassen sich übrigens als Bild exportieren.

Auf der rechten Seite finden wir die AD Attribute:

 

Und jetzt wird es richtig komfortabel. Ich kann den kompletten Datensatz von hier aus editieren:

 

Ja, richtig, ich traue keinem Vegetarier!

 

Übrigens, diese Box hier sieht man bei allen Änderungen. Ordentliches Change-Management erfordert das Setzen von Notizen.

Und wo wir gerade dabei sind, klickt einmal rechts auf ein Konto:

 

Wandern wir vom AD zu Datei-Berechtigungen. Ist nur eine kurze Strecke, wenn man oben auf Show access rights to resources klickt.
Ich wähle einen File Server und einen Pfad aus:

 

Rechts sehe ich die Berechtigungen im Detail:

 

 

ARM kommt noch mit einer zweiten Oberfläche zusätzlich zu dem Client – einem Web-GUI.

Hier stehen mir andere Werkzeuge zur Verfügung.

Viele typische Risiken können schon out-of-the-box betrachtet werden.
Dazu auf Risks klicken:

 

 

Wir sehen inaktive Konten:

 

Oder permanente Passwörter:

 

An gleicher Stelle finden wir auch die allseits beliebte „Everyone“ Berechtigung bei Ordnern:

 

Ein simpler Klick auf „Minimize Risks“ zeigt mir:

 

 

Ich könnte direkt von hier aus wieder Änderungen betreiben – auch im Bulk.

Selbstverständlich wird jede Änderung, die über ARM durchgeführt wird, automatisch protokolliert.
Das Logbuch befindet sich oben im lokalen Client und wir können Berichte erzeugen und exportieren:

 

Vermutlich habt ihr das oben schon gesehen, aber weitere vordefinierte Berichte findet man direkt auf dem Start-Dashboard:

Gehen wir ein oder zwei spezifische Themen an.

Seit Server 2016 gibt es das Feature von temporären Gruppenmitgliedschaften, um vielleicht einem Mitarbeiter für die Dauer eines Projektes Zugriff zu notwendigen Elementen zu bieten. Nach Ablauf des voreingestellten Zeitraums werden die Berechtigungen automatisch entfernt.
Praktisch, oder?

Das nicht ganz so schöne Szenario: Jemand hat sich selbst temporär Zugriff auf eine Ressource gegeben mit dem Hintergrund, dass die Änderung der Gruppenmitgliedschaft hinterher kaum nachvollziehbar ist.
Aber jetzt nicht mehr! Hier geht’s ab:

 

Wenn man mit der Maus über diese Box hier geht

Sieht man rechts Objekte, und für mein Beispiel sind Member added/removed interessant:

 

Leider gibt es in meinem Lab nicht wirklich viel zu sehen, also gehen wir weiter.

 

ARM erlaubt Standardaufgaben direkt aus dem UI durchzuführen, wie z.B. das Erstellen von neuen Benutzern oder Gruppen, Vergeben/Entfernen von Berechtigungen etc.
Wirklich interessant ist das Nutzen von Vorlagen bzw. Profilen.

Hierzu klicken wir im Webclient rechts oben auf das Zahnrad und Department Profiles

 

 

Rechts auf „Create new“

 

 

 

Geben dem Profil einen Namen:

 

 

Links sind weitere Optionen sowie der Button zum Speichern:

 

Ein neuer Mitarbeiter wird lediglich dem Profil zugewiesen, welches sich um sämtliche anderen Einstellungen kümmert – automatisch.

 

Selbstverständlich gibt es auch einen vordefinierten Bericht, der eventuelle Abweichungen zu den Profilen direkt anzeigt. Wir bleiben im Webclient, klicken auf Analyse und wählen die folgende Schaltfläche:

 

 

 

Dann suche ich mir ein Profil aus und ab geht’s:

 

 

Die gute Elyne ist konform, was aber auch wenig überraschend ist als einzige Mitarbeiterin im Marketing:

Das waren nur ein paar der Features von ARM. Weitere interessante Themen wären das Einbinden von anderen Quellen, oder Scripts für komplexere Automatismen. Das ist Futter für zukünftige Postings.

 

Aber, wisst ihr, was ich als Computer-Gamer ganz besonders am ARM mag?
Man kann auf so ziemlich alles klicken. Probiert einmal das hier aus, zu finden ganz links am Bildschirmrand auf dem Start Dashboard:

 

 

 

Viel Spass beim Erkunden!

DefCIS2019 is AFCEA London’s biennial UK Defence CIS Conference where commercial, military, and academic experts will come together to discuss and debate challenges facing us.

This year, the conference and post-conference drinks reception are being held on Tuesday, February 19, 2019 at the IET, Savoy Place, London.

 

 

This year’s conference theme is Delivering Information Advantage… Can the UK Armed Forces do this? Will the UK Armed Forces do this?”

 

 

Come and meet the SolarWinds National Government team exhibiting at the conference!

 

 

WHEN AND WHERE

  • START TIME: Feb 19, 2019 8:00 a.m. GMT (Europe/London)
  • END TIME: Feb 19, 2019 5:30 p.m. GMT (Europe/London)
  • LOCATION: IET, Savoy Place, London
  • EVENT TYPE:Conference
  • EVENT VISIBILITY AND ATTENDANCE POLICY: Open

 

Find out more and book your place here.

 

Do you guys know that Tom is speaking during a breakout session?
Have a look here to learn how to bypass typical pitfalls in DB virtualization.
We should play a game. Whoever puts the best pic of him talking on Twitter gets…uh…a pair of socks maybe?

 

Speaking of pictures, I found a few from last year in Barcelona. This was our home for a few days:

 

I suggest checking Twitter for updates on how it will look next Monday!

 

Also, we discovered an interesting place for dinner.
Have a look at the nameplate to see whose table we were sitting at:

 

We didn’t meet them yet. Which is one of the reasons we go to Barcelona again, and again!

The other reason, obviously, is you guys! Come and see us!

It’s that time of the year again.

Normal people start thinking about Christmas presents, robots are asking for an oil change, but we at SolarWinds are busy planning our next Partner Summit here in Ireland.

 

While we are still in the process of finalizing the agenda—hey, even an oil change takes time—I have some facts to share with you.

Unfortunately, the dinner menu is not yet available, so I will come back to that later!

What do we know?

For starters, the date and location:
Monday, February 4, 2019, to Friday the 8th in Cork, Ireland.

Three keynote speakers agreed to drop by:

 

  • - Denny LeCompte (SVP, Product Marketing)
  • - Kevin Bury (SVP, Customer Success & Business Operations)
  • - Ludovic Neveu (GVP, Sales)

 

I am sure you are familiar with “never change a running system,” so we stick to the things that worked out very well in the past and split the whole agenda between a commercial and a technical track.

The commercial track will provide insights into what’s new at SolarWinds since the last February.
Let me copy some information from our press releases:

 

By the time we meet, we will have more news for you to make sure that you’re up to date on our latest releases, and how they can help your customers.

 

The technical track will continue diving into the different paths of SolarWinds certifications and we will be offering various classrooms and breakout sessions.

Remember in early 2018, when I was providing a technical session for the NTA beta exam with NTA beta materials?
Good news: You will be able to sit the official exam as it left beta. But we might have a new beta track available just in case you are feeling adventurous.

 

As we believe in “work hard, play hard” or, in this case, “study hard, play hard,” our famous evening entertainment will return, and I will make sure that appropriate food is being served for us.

For those of you who are following me on Twitter: No, I won’t cook for you, sorry!

 

Still, almost four months to go so stay tuned for updates as I get them. In the meantime, have a look at previous summits, summarized by my colleague Michael:

2017

2018

 

BRB!

Tach Zusammen,

 

SolarWinds® wird vom 09.-11. Oktober auf der IT-SA in Nürnberg vertreten sein, und zwar mehr als nur einmal!

Unsere Hauptpräsenz wird bei unserem Distributor Ramge Software in Halle 9 an Stand 140 sein.
Stand 140 ist der „hub“ für die anwesenden SolarWinds Mitarbeiter und es wird immer jemand verfügbar sein.

 

Weitere Distributionspartner auf der Messe sind Sysob IT-Distribution, in Halle 9, Stand 446, sowie ALSO Deutschland ebenfalls in Halle 9 an Stand 516.

Ebenso ist unser Partner I.Tresor in Halle 10.1, Stand 309 vertreten.

 

Vielleicht sieht man uns sogar noch an einem anderen Stand!

 

Warum sollte man vorbeischauen? Es gibt so viel Neues zu sehen!

Wir bringen die neuesten Updates für die Orion® Plattform mit inklusive dem Server Configuration Monitor (SCM) und natürlich den neuen Karten, ebenso zeigt unser MSP-Team die NetPath Integration in n-central sowie SolarWinds Backup.

Selbstverständlich bringen wir auch unsere berühmten Pins und Sticker mit!

 

Kommt einfach mal vorbei!

Mit dem Altern ist das ja so eine Sache.

Häufig überlege ich mit meiner Partnerin was man denn am Wochenende kochen könnte und sobald mir eine großartige Idee einfällt sagt sie „das hatten wir doch schon letztes Wochenende“.

 

Ach, richtig, vollkommen vergessen!

Trotzdem mag ich kein Log darüber führen was ich zuletzt gekocht habe. Wozu auch wenn man doch daran erinnert wird

 

In der IT haben wir ständig ähnliche Situationen:
Was habe ich denn neulich noch an diesem Server…das .Net Update, ach, richtig, vollkommen vergessen!
Was ist, wenn ich mich jetzt nicht mehr erinnere? Meine Partnerin kann mir hier nicht helfen, also benötige ich eine andere Lösung.

 

Jetzt kommt der SolarWinds® Server Configuration Monitor (SCM) ins Spiel!

Innerhalb von wenigen Monaten ist SCM jetzt schon das zweite neue Modul für die Orion® Plattform. Orion war bisher in der Lage, Konfigurations-Änderungen bei Netzwerkgeräten festzustellen.
Ihr habt uns das Feedback gegeben, dass da mehr gehen muss, und jetzt geht da auch mehr!

SCM bringt Konfigurationen von Servern und Anwendungen in die Plattform, damit sich bei Problemen mit der Performance oder Verfügbarkeit eventuelle Änderungen als Ursache entweder bestätigen oder ausschließen lassen, ohne externe Produkte zu konsultieren.
Vielleicht hatte ich ja tatsächlich etwas installiert! Oder viel schlimmer: Jemand anders!

 

SCM nutzt den schon bekannten Orion Agent um eine Inventarisierung von Hard- und Software durchzuführen sowie auf Veränderungen bei speziellen Anwendungen zu überwachen. Sollte eine Änderung festgestellt worden sein, kann natürlich ein Alarm ausgelöst werden.

Typische Situationen neben dem Nachverfolgen von Konfigurationsänderungen könnten aber auch Dinge wie das Downsizing bei VM-Ressourcen sein, oder vielleicht Registrierungsänderungen die von Malware verursacht worden sind.
Ebenso sollte man nicht vergessen, dass die Lösung zwar Server Configuration Monitor heisst, aber nichts kann euch hindern damit auch Desktops zu überprüfen um eventuelle nicht autorisierte Installationen von Endbenutzern auf deren Maschinen zu finden.


Also, SCM überwacht Dateien, Ordner und die Registrierung.

 

Eine kurze Tour gefälligst?
Klicken wir einmal den nagelneuen Reiter hier:

 

Ich besitze die unangenehme Eigenschaft bei neuen Spielzeugen direkt in die Einstellungen zu gehen („Oh was macht denn dieser Knopf?“) also klicke ich oben rechts auf die Settings

 

Was haben wir da jetzt:

 

Rechts stellen wir lediglich ein wie lange die Daten vorgehalten werden und das könnt ihr solange einstellen bis euch der Storage-Admin auf das Dach steigt.
In der Mitte wird angezeigt, welche Maschinen welche Profile zugewiesen haben:

 

Oben wäre dann eine Methode, um Profile zuzuweisen:

 

Aber was sind denn jetzt diese Profile?

Profile sind Vorlagen die der Überwachung von spezifischen Veränderungen dienen. Bei einer frischen Installation von SCM sind drei Profile direkt verfügbar: Die Inventarisierung von Hardware, Software sowie dem IIS.
Wir arbeiten bereits an weiteren Profilen wie z.B. Active Directory®, Exchange™ und anderen.

Natürlich könnt ihr auch eure eigenen Profile erstellen! Klickt auf „Add“ und gebt dem Ding einen Namen:

 

Dann noch einmal auf “Add” zum Erstellen der tatsächlichen Bedingung – dies können natürlich auch mehrere sein:

 

Okay das Profil ist drin. Wählt es aus und klickt „Assign to“

 

Nutzt eure Kreativität und verändert die Datei. Das Resultat wird direkt angezeigt:

 

Einen Mausklick weiter sieht man auch die Details:

 

Das war einfach. Jetzt mal etwas spannender!
Ich erstelle ein Profil mit dem Namen „Firewall Policy“ und füge ein neues Element hinzu aber diesmal „Registry“ und nicht Datei:

 

 

Hier wird ein kompletter Key überwacht. Je nach Anwendungsfall kann man in der Hierarchie nach oben wandern aber ich schlage vor es so spezifisch wie möglich zu gestalten, damit es bei Änderungen nicht zu unübersichtlich wird.
Behaltet eine der goldenen Regeln des Monitorings im Kopf:
Wenn etwas passiert wollt ihr keine Zeit damit verschwenden festzustellen, was denn passiert ist!

Okay die Regel habe ich gerade erfunden aber sie klingt gut, oder?

 

Ebenso kann man komplette Ordner überwachen. Das kann sehr interessant sein, daher schnell ein Beispiel.
Beachtet die Wildcards für alle Unterordner und alle Dateien, ebenso habe ich den Download deaktiviert:

 

Aufgepasst: Im Beispiel oben muss das Konto korrekt angegeben werden.
Aus offensichtlichen Gründen wird die Variable %userprofile% keine Resultate anzeigen! Ihr könnt aber %windir% oder andere Variablen nutzen, solange diese nicht an einen Benutzer gebunden sind.

 

Eine weitere Option wären ganz simple Binärdateien. Diese können zwar nicht eingelesen werden aber zumindest wird anhand der Checksumme eine Änderung erkannt.
Das heisst, ich muss mich korrigieren: SCM kann Binärdateien einlesen, nur wir Menschen können damit nichts anfangen.

Die Standard-Profile sind übrigens direkt beim Sonar verfügbar und können zugewiesen werden wie AppInsight:

 

Ich gehe davon aus, dass wir im Laufe der Zeit mehr Profile in thwack haben werden die importiert werden können. Ja, das war ein Wink mit dem Zaunpfahl!

 

Ein weiteres nettes Feature ist das Erstellen von Baselines, also Snapshots von gewünschten Konfigurationen. Das geht ganz einfach per Mausklick ganz rechts:

 

Und aus grau wird grün!

 

Selbstverständlich werden Features der Plattform unterstützt, so gibt es z.B. neue Alarme:

 

Hier ist ein neuer Auslöser für eure eigenen Alarme:

 

Sowie neue Berichte:

 

Und im PerfStack! Wie sagt meine Mutter immer „Niemals den PerfStack vergessen!“

 

Noch ein paar Stichpunkte zur Skalierung:

Wir haben SCM erfolgreich mit bis zu 1000 Agents pro Poller getestet und jeder Agent kommt mit 150 Änderungen pro Sekunde klar bei einem Maximum von insgesamt einer Million Änderungen pro Stunde für eine Orion Instanz.

Falls ihr noch nicht mit dem Orion Agent gearbeitet habt keine Sorge, der Overhead des Agents an CPU, Memory und Bandbreite ist sehr gering.

 

Wie oben schon erwähnt arbeiten wir bereits an den nächsten Features, darunter auch die Anzeige wer eine Änderung durchgeführt hat womit SCM dann für Audit & Compliance nutzbar ist, und schliesslich auch dem Support für Linux.
Schaut einfach hier hin um den jeweils aktuellen Stand zu erfahren:

https://thwack.solarwinds.com/docs/DOC-203089

 

Genug für eine schnelle Vorstellung, jetzt seid ihr dran mit dem Testen. Ich habe dringendere Dinge zu erledigen. Es ist Freitag. Ich muss in die Küche.

Die Vorspeise – Rucola, Prosciutto, Parmesan und Balsamico. Gebt dem Schinken etwas Zeit um auf Zimmertemperatur zu kommen für diese Kombination:

Wenn euch die Kombination von Balsamico und Rucola zu bitter ist empfehle ich etwas Honig.

 

Und schliesslich „Duchesse Di Parma“, Hühnchen mit Prosciutto in Sahnesauce mit etwas Käse.

 

Keine Pasta dieses Mal!!

Viel Spass mit SCM.

If you are experiencing incorrect data reporting in Solarwinds after upgrading your Disk, Memory, or CPU, you are not alone!

A case Study: An Infrastructure Monitoring Team encountered issues in getting the correct disk sizes after capacity upgrade.

 

As you can see to the previous screenshot the /backup are at 100% and reporting a maximum partition size of 503.0 GB but per checking directly on the database server it shows:

A recent upgrade in the database server's file system was performed where the disk /backup was upgraded from 503.6 GB to 4.5 TB.

Solarwinds didn't notice the changes in disk capacity.

 

If you click the /backup you will be directed to this view:

 

Percentage used is 206%. The reason why it happened is because the 'size' is not updated (it should be 4.5 TB).

If the current 'space used' increases and 'size' remains not updated, the 'percentage used' will no longer reliable.

 

Two days ago, the system administrator provisioned additional disks and mounted to the same server, Solarwinds didn't detect any changes in file system.

Solarwinds marked the deleted disk as down. (/backup was deleted in server.)

 

This is a known issue with using SNMP. SNMP cannot monitor Volume Changes, changing SNMP string requires enterprise-wide changes.

Other option is to re-enroll the nodes by removing the affected node ( Examples. /backup, D: Database Backup) to get its updated details.

Removing nodes is risky because it also delete the historical data of node.

This limitation was observed in  Windows and Linux servers in our current operation setup.

 

What you can do?

 

Mount Points Monitoring

 

If you would like to know how Solarwinds will monitor if server resources is added or removed to the server which is already in the monitoring, please refer below:

1. If any mount point is removed you can configure (volume down) alert for the same.

You will be notified with volume is down. Below must be triggered condition for volume down alert or you can make changes according to the requirement.

 

2. If server has a new resources or upgrades.

You need to list resource every time and add them under monitoring.

 

Hope this helps!

 

Sources:

Incorrect disk size - Linux mount points

Linux mount points monitoring

Sascha Giese

IPAM und UDT

Posted by Sascha Giese Employee Aug 2, 2018

Tach Zusammen!

 

Heute bin ich ein Beispiel für Effizienz und schreibe über zwei Module für die Orion® Plattform gleichzeitig – IP Address Manager (IPAM) und User Device Tracker (UDT).
Glücklicherweise sprechen beide Produkte die gleiche Zielgruppe an und harmonisieren perfekt miteinander!

 

Also, was machen die Dinger?

Fangen wir mit IPAM an. Das spricht man übrigens tatsächlich „eipäm“ aus!

Nutzt ihr noch Tabellen zur Verwaltung von Subnetzen? Das ist ungefähr so fortschrittlich wie dieses Gebäude hier:

 

 

Mit SolarWinds® IPAM kann man den kompletten Adressraum zentral verwalten und noch einiges mehr. Aber mal von Anfang an!

 

Nach dem Installieren gehen wir sofort in die Subnetz-Verwaltung.

Die erste Frage ist: Wie bekomme ich meine Daten dort hinein?

Es gibt drei verschiedene Möglichkeiten. Die komfortabelste ist das automatische Erkennen mit „Discover Subnets“:

 

Ich gebe dem System dazu ein Gateway – optimal: Coreswitch/Corerouter - und es wird versucht über SNMP Daten abzufragen. Dazu werden die folgenden OIDs ausgelesen um die Subnetze zu identifizieren:

   

NAME

OID

IpForwarding

  1. 1.3.6.1.2.1.4.1

IpRouteDest

  1. 1.3.6.1.2.1.4.21.1.1

IpRouteMask

  1. 1.3.6.1.2.1.4.21.1.11.

IpCidrRouteDest

  1. 1.3.6.1.2.1.4.24.4.1.1.

IpCidrRouteMask

  1. 1.3.6.1.2.1.4.24.4.1.2

ipRouteType

  1. 1.3.6.1.2.1.4.21.1.8

NexthopAddress

  1. 1.3.6.1.2.1.4.21.1.7

 

Tatsächlich entspricht das exakt RFC1213.

Leider trifft man sporadisch auf Hardware Hersteller die die Standards recht kreativ auslegen und in dem Falle wird die automatische Erkennung leider nicht funktionieren können.

Anstatt zur nächst gelegenen Glaskugel zu greifen nutzen wir dann einfach die zweite Funktion vom Screenshot oben, den Import.
Dazu kann man innerhalb von IPAM zuerst eine Vorlage herunterladen:

 

 

Diese befülle ich dann mittels Magie in Form von Copy&Paste von meinen alten Tabellen und importiere das fertige Element in das System.

 

Die dritte Methode ist das manuelle Einpflegen von Subnetzen. Dazu klickt bitte ganz links auf „Add“:

 

Natürlich legt man nicht dutzende von Subnetzen per Hand an aber die Funktion ist sinnvoll um Planspiele zu betreiben um, zum Beispiel, zukünftige Adressräume zu modellieren.

Nachdem wir nun die Subnetze gesammelt haben, empfiehlt es sich etwaige DHCP und/oder DNS Server anzulegen. Als Beispiel hier DHCP - dazu wechseln wir:

 

Jetzt kommt es eventuell zu einer Überraschung. Wir klicken auf „Add New/Hinzufügen“:

 

Ganz oben steht eine Warnung:

 

Die Maschine muss also schon innerhalb des Systems sein. Wenn noch nichts verfügbar ist wird entweder Sonar bemüht oder ich nehme die Maschine schnell manuell auf.
Bei mir sind die Maschinen schon vorhanden und ich wähle die entsprechende VM aus:

 

Und darunter kommen die Berechtigungen. Hier kommt es häufig zu Fragen – was genau wird benötigt?

Details gibt es hier:

https://support.solarwinds.com/Success_Center/IP_Address_Manager_(IPAM)/IPAM_Documentation/IPAM_Administrator_Guide/050_DHCP_management/050_Adding_DHCP_Servers_to_IPAM

https://support.solarwinds.com/Success_Center/IP_Address_Manager_(IPAM)/IPAM_Documentation/IPAM_Administrator_Guide/060_DNS_management

 

Ich kann nun einstellen wie oft die Scopes bzw Zonen synchronisiert werden:

 

Selbstverständlich kann man auch Scopes anlegen/ändern (Scope-Optionen wie z.B. das Gateway) oder DNS Zonen erstellen und manipulieren:

 

Um hier weiter zu kommen gehen wir also davon aus, dass wir sowohl DHCP als auch DNS im System haben und Daten eingelesen worden sind, und klicken wieder auf die Subnetz-Verwaltung.

In meiner kleinen Laborumgebung habe ich nur zwei Subnetze:

 

Wenn ich eines auswähle und auf Edit klicke stehen mir einige Eigenschaften zur Verfügung. Interessant sind dort sicherlich die Einstellungen der DNS Zone:

 

Einmal dort hinterlegt, ist IPAM klar wer für den Bereich verantwortlich ist und kommuniziert mit dem DNS Server.

Dann noch ein paar Kleinigkeiten:

 

Wenn die Automatik aus ist, habe ich eine passive Tabelle. Das ist sinnvoll zum Planen oder der reinen Übersicht halber, falls ein Subnetz nicht von IPAM aus erreichbar ist (DMZ).

Die Einstellung „Update but not erase“ nutze ich, wenn ich per Hand Attribute gesetzt habe.

Scan-Intervall ist klar, und die Auswahl der Polling Engine kann dann interessant werden, wenn ich mehrere Poller und doppelte Subnetze habe.

Klicke ich tatsächlich in ein Subnetz habe ich eine Tabellen-Ansicht und plötzlich gibt es viel zu sehen:

 

Zuerst einmal ganz links in violett (mein Kunstlehrer sagte immer „violett ist nicht lila“), gelb und grün – das ist der Status der IP und der ist ziemlich wichtig!

Wir erkennen dadurch nicht nur, was es mit der IP auf sich hat, sondern nutzen diese Information auch zur Lizensierung. Reserviert, in Benutzung und Transient werden lizensiert, verfügbare IP jedoch nicht.

Oben sehen wir die Spaltenbeschreibungen die im Prinzip selbsterklärend sind. Wir nutzen hier verschiedene Protokolle um euch möglichst viele Informationen zu den Adressen liefern zu können.

Man kann die Spalten übrigens auch verstecken bzw weitere dazu legen:

 

Die nächsten Spalten zeigen die MAC Adresse an sowie den Hersteller:

 

Die Herstellerinformationen werden bei Updates von IPAM mit eingepflegt. Wenn dort etwas als „unknown“ angezeigt wird wie bei mir, könntet ihr es als Feature Request einreichen damit wir es für euch in das Produkt hinzufügen können.

 

Die ich ja heute, wie schon bemerkt, so richtig effizient bin, habe ich für meine unbekannten Nodes einen FR angelegt.

https://thwack.solarwinds.com/ideas/10107

Falls ihr heute noch keine gute Tat erledigt habt könnt ihr dem Vorschlag gerne eine Stimme geben

 

In den weiteren Spalten wird überprüft ob ein DHCP Scope im System deckungsgleich mit dem Subnetz ist und falls ja, zeigen wir Reservierungen und ClientName an. Ebenso natürlich den Hostnamen über einen nslookup.

Protipp: Die Namensauflösung findet vom SolarWinds Server aus statt. Wenn kein Name angezeigt wird, bitte dort mit dem Troubleshooting starten und nicht von eurer Workstation aus.

 

Weiter hinten werden drei SNMP OIDs abgefragt:

 

Klicken wir einmal auf eine IP und editieren!

Interessant hier der Status und der Typ:

 

Bei „Scanning“ bedeutet off = der DHCP Status ist egal und wird nicht mehr abgefragt.

Wenn wir zurück auf die Startseite von IPAM gehen sehen wir einige sinnvolle Grafiken und Tabellen. Die meisten davon sind selbsterklärend aber guckt einmal kurz hier:

 

Was genau sehen wir hier? Es gibt unterschiedliche Verknüpfungen in der Vorwärts und Rückwärts Zone des DNS Servers.

Üblicherweise ist die FWD Zone immer aktuell und der Eintrag in BWD veraltet. Wir können es dann von hier korrigieren.

Und das hier ist wirklich klasse:

 

Wir sehen links eine IP und rechts zwei Maschinen mit der MAC Adresse, die gerne diese IP hätten. Ich weiss also jetzt schon, wer in meinem Netz einen Konflikt verursacht.

Aber! Guckt mal auf die Info in den blauen Spalten.
Dort wird angezeigt, dass beide oberen Maschinen auf dem gleichen 3850 sitzen, die linke in Port 20 im zweiten Stackmitglied, die rechte auch in Port 20 aber im dritten Switch.

Wo kommt das jetzt her?
Das, meine Freunde, kommt aus dem User Device Tracker (UDT)!

 

UDT ist ganz klassisches Switch Port Mapping und zeigt mir an, wer an welchem Port eingestöpselt ist.
Die Ports selbst werden durch die Sonar Suche der Orion Plattform gefunden und können weiter manuell geändert werden:

 

 

Dazu werden OIDs von den Switchen ausgelesen – und zwar eine ganze Menge.

Guckt bitte einmal hier:

https://support.solarwinds.com/Success_Center/User_Device_Tracker_(UDT)/Knowledgebase_Articles/MIB_tables_required_by_User_Device_Tracker_for_Layer_2_information

Für die komplette Übersicht bitte das Bild abspeichern und dann zoomen.

 

In den Standardeinstellungen werden die Daten alle 30 Minuten abgefragt sowohl für L2 als auch L3, sofern Multilayer verfügbar ist.

Typische Einsatzszenarien für den UDT sind natürlich ganz klassisch das Auffinden irgendeines Endpunktes oder Benutzers. Mein Lieblingsbeispiel ist „Karl-Heinz aus der Personalabteilung hat wieder ein Ticket geschrieben. Wo finde ich den?“

Dazu konsultiere ich oben rechts die Suche:

 

Vielleicht möchte ich aber auch einfach nur wissen, wer sich in meinem Netzwerk herumtreibt.
Dazu gibt es ein praktisches Element direkt auf der Zusammenfassung:

 

Aber Moment einmal – jetzt, wo wir diese Infos haben können wir gleich noch mehr damit anstellen!
Es gibt zwei verschiedene Listen innerhalb vom UDT: Eine „watch list“ und eine „white list“:

 

Falls ich das benutzen möchte, muss ich zuerst eine „white list“ definieren. Das Standard-Verhalten färbt erst einmal alles in weiss auch wenn es nicht wie ein Kühlschrank aussieht:

 

Wenn ich mir eine neue Regel erstellen möchte gibt es links einige Optionen:

 

Custom ist sicherlich die interessanteste davon, da auch Wildcards erlaubt sind:

 

Komplexe, verschachtelte Regeln sind allerdings nicht möglich. Hierzu sollte eine NAC Lösung in Betracht gezogen werden.

Nehmen wir einmal an wir haben eine simple Regel erstellt, die alle Knoten eines bestimmten Herstellers über die MAC Adresse erkennt. Was passiert jetzt, wenn ein neuer Hersteller auftaucht?

Dann würden wir den Knoten in dieser Tabelle sehen:

 

Rechts kann ich entscheiden was jetzt geschehen soll. Wenn ich das Ding kenne, klicke ich „safe device“ und es wird eine neue Regel nur für den Knoten erstellt.

 

Aber was ist, wenn jetzt irgendetwas verdächtig erscheint, ohne dass ihr euch sicher seid warum wie zum Bespiel hier:

 

In dem Fall klicke ich auf „watch“ und lasse es mir auf die andere Liste setzen:

 

Nun wird mir das Ding nachverfolgt:

 

Auch beim UDT gibt es direkt verfügbare Alarme:

 

Sowie Berichte, natürlich!

 

Zwei weitere Funktionen habe ich bisher unterschlagen! Hier die erste:

 

Der UDT kann auf Wunsch mit dem Domain Controller verbunden werden um die Event-IDs 4768 und 4769 auszulesen, die beim Authentifizieren geschrieben werden.

Dadurch lassen sich Benutzerlogins identifizieren und ich kann nicht nur nach Maschinen oder Adressen, sondern auch nach Benutzern suchen.

Diese Funktion ermöglicht aber auch im Zusammenspiel mit SolarWinds Netflow Traffic Analyzer (NTA), nicht nur den Computer, sondern auch den aktiven Benutzer zu finden der eine bestimmte Adresse angesteuert hat. Das ist schon ziemlich detailliert!

 

Aufgepasst: Der Einsatz dieser Funktion befindet sich in einer „Grauzone“ und sollte vorab mit dem Betriebsrat diskutiert werden.

 

Eines noch! Erinnert euch noch an die Geschichte mit den doppelten IPs:

 

Wenn man an dieser Stelle auf einen Port klickt kommt man zu der folgenden Seite:

 

Shutdown nutzt SNMP-RW um tatsächlich den Port herunterzufahren.

 

Wäre es jetzt nicht auch toll, wenn man die Informationen verknüpfen kann für Szenarien wie:
Unbekannte MAC im Netz --> Sperre mir den Port automatisch?

Folgt mir bitte unauffällig:

https://thwack.solarwinds.com/ideas/2328

 

Okay, wir sind im Schnelldurchlauf mit IPAM und UDT fertig.
Beide Module sind wirklich einfach zu verstehen und zu benutzen. Keine Geheimnisse.
Wenn es zu Herausforderungen kommt, ist es meistens auf mangelnde Kompatibilität der Hardware zurückzuführen.

Falls ihr einen solchen Fall habt, tretet einfach direkt mit uns in Kontakt und wir schauen uns das einmal an.

 

Bis dann macht’s gut, und ihr wisst ja, dass nach SolarWinds mein Lieblingsthema das Dinieren ist oder? Daher hier ein sommerliches Foto:

 

Salat mit angebratenem Lachs, Feta und einem Dressing auf Zitronen-Honig-Senf Basis. Der Ouzo ist mit Absicht nicht im Bild.

Custom full screen CSS that overwrites SolarWinds default page styling for the NOC views - workaround to allow Maps to go full screen in NOC mode (press F11 in browser to go full-screen).

SEE FILE ATTACHED TO POST FOR CSS

 

This CSS only provides styling for NOC views that only have a "Map" & "Custom HTML" component. Copy this CSS (including the <style> tags) into the "Custom HTML" component to put into effect.

 

  1. Create a new NOC view add only the "Map" & "Custom HTML" components
    • Remove the second column, you only need 1 column for this
    • Only add the "Map" and  "Custom HTML" components (order shouldn't matter)

     Image of the NOC view page settings during creation

    • Should have only these visible:

     layout with just the unconfigured map and html components

  1. Configure your Map component
    • Do not update the Title - just keep it as "Map"
      • We'll be hiding the title anyway so it won't matter.
    • Choose your map
    • Click "Submit"

    

    • It will look like a hot mess to start - the map will be cut off and not all of it will be visible.
      • Don't worry about this - Step 3 fixes this when we overwrite SolarWinds default CSS

    

  1. Configure your Custom HTML component
    • Do not update the title - keep it as "Custom HTML". Same deal as with the Map component
    • Paste ALL of the CSS into the main text area
    • Click "Submit"

    

  1. Map should be large now, and you should see the "Edit" buttons for the components in the top left corner

    

  1. Show in NOC Mode to get rid of the edit buttons and press F11 to have your browser go fullscreen
    • Press F11 to exit full screen
    • Exit NOC mode if you need to access the edit buttons

    

 

Some notes:

  • This CSS by default targets the default component names "Map" & "Custom HTML". If you change these, you'll have to update the CSS, i.e.:

If you update the Map components title from "Map" to "Local Server Farm Map", you have to update all instances of:

sw-widget-title='Map'    ---->    sw-widget-title='Local Server Farm MapCustom'    (nothing a little find & replace can't fix)

  • This CSS is just a quick working concept we're putting into production; it isn't perfect by any means but it gets the job done for us. Feel free to revise as you see fit.
    • If you know CSS, or at least the general concepts and workings of CSS, you should be able to easily update this to how you want it.
  • This relies on the custom tag attributes SolarWinds provides with the components: sw-widget-title
    • This means that it can break easy. If SolarWinds decides to push an update that changes the components HTML attributes, and the "sw-widget-title" attribute no longer exists, the view will no longer work as intended. You will need to update the CSS accordingly.
  • This CSS **SHOULD** work with most maps, however, to get full screen coverage, it stretches to fill. We custom made our maps to our monitor's resolution so stretching would not be an issue.
    • Feel free to update the CSS to work with your specific maps.
  • If you can't find the "Edit" links for components, please note that they are not provided while in NOC view mode. Exit NOC view mode, and if you have permissions to edit components, the Edit links for the "Map" & "Custom HTML" components should be visible in the top left.

 

 

CUSTOM CSS

<style>


/*******************************************
Custom full screen CSS that overwrites SolarWinds default page styling for the NOC views.
Workaround to allow Maps to go full screen in NOC mode (press F11 in browser to go full-screen).
This CSS only provides styling for NOC views that only have a "Map" & "Custom HTML" component. Copy this CSS (including the <style> tags) into the "Custom HTML" component to put into effect.




Some notes:
- This CSS by default targets the default component names "Map" & "Custom HTML". If you change these, you'll have to update the CSS, i.e.:
If you update the Map components title from "Map" to "Local Server Farm Map", you have to update all instances of:
sw-widget-title='Map'    ---->    sw-widget-title='Local Server Farm MapCustom'    (nothing a little find & replace can't fix)


- This CSS is just a quick working concept we're putting into production; it isn't perfect by any means but it gets the job done for us. Feel free to revise as you see fit.
---- If you know CSS, or at least the general concepts and workings of CSS, you should be able to easily update this to how you want it.


- This relies on the custom tag attributes SolarWinds provides with the components: sw-widget-title
---- This means that it can break easy. If SolarWinds decides to push an update that changes the components HTML attributes, and the "sw-widget-title" attribute no longer exists, the view will no longer work as intended. You will need to update the CSS accordingly.


- This CSS **SHOULD** work with most maps, however, to get full screen coverage, it stretches to fill. We custom made our maps to our monitor's resolution so stretching would not be an issue.
---- Feel free to update the CSS to work with your specific maps.


- If you can't find the "Edit" links for components, please note that they are not provided while in NOC view mode. Exit NOC view mode, and if you have permissions to edit components, the Edit links for the "Map" & "Custom HTML" components should be visible in the top left.




If there are any additional bits of information you would like me to include with this, just add to the comments of the post: 
*******************************************/


/*******************************************
Map styling


- Allows map element to go full screen
- positions it relative to the top left corner by overwriting SolarWinds default styling


*******************************************/


.networkMapContainer {
width: 100vw !important;
height: -webkit-calc(100vh - 40px) !important;
height: -moz-calc(100vh - 40px) !important;
height: calc(100vh - 40px) !important;
height: 100vh !important;
position: fixed !important;
top: -15px !important;
left: -5px !important;
}


.networkMapContainer img {
width: 100vw !important;
height: 100vh !important;
}




/*******************************************
Edit link styling for the page components


- Turns the edit links into larger buttons
- Styles the link's hover state


*******************************************/


/*Button styling for the "Map" & "Custom HTML" edit links*/
div[sw-widget-title='Map'] a.EditResourceButton,
div[sw-widget-title='Custom HTML'] a.EditResourceButton {
background-color: #008CBA !important;
    border: none !important;
    padding: 15px 32px !important;
    text-align: center !important;
    text-decoration: none !important;
    display: inline-block !important;
    margin: 4px 2px !important;
    cursor: pointer !important;
-webkit-border-radius: 2px !important;
-moz-border-radius: 2px !important;
border-radius: 2px !important;

}


/*Button hover state styling for the "Map" & "Custom HTML" edit links*/
div[sw-widget-title='Map'] a.EditResourceButton:hover,
div[sw-widget-title='Custom HTML'] a.EditResourceButton:hover {
-webkit-box-shadow: 0 0 16px 0 rgba(207,235,245,0.10), 0 0 50px 0 rgba(207,235,245,0.05) !important;
-moz-box-shadow: 0 0 16px 0 rgba(207,235,245,0.10), 0 0 50px 0 rgba(207,235,245,0.05) !important;
box-shadow: 0 0 16px 0 rgba(207,235,245,0.10), 0 0 50px 0 rgba(207,235,245,0.05) !important;
background-color: #06a4d8 !important;
text-decoration: none !important;
}


/*Edit style of link text*/
div[sw-widget-title='Map'] .sw-btn-resource span,
div[sw-widget-title='Custom HTML'] .sw-btn-resource span {
font-size: 1.25em !important;
font-weight: bold !important;
color: white !important;
line-height: 1.25em !important;
}


div[sw-widget-title='Map'] .sw-btn-resource .sw-btn-t:hover,
div[sw-widget-title='Custom HTML'] .sw-btn-resource .sw-btn-t:hover {
text-decoration: none !important;
}




/*******************************************
CSS targeting the edit link for the Map Component


- Raises the edit link we styled above for the "Custom HTML" component over top of the map so it is accessible
- Removes component panel, header, etc. Basically, it hides everything except the edit link


*******************************************/


/* Moves link to top of all elements and to the top left of screen */
div[sw-widget-title='Map'] a.EditResourceButton {
z-index: 999;
position: fixed !important;
top: 60px !important;
}


/* adds text to end of edit link for readability */
div[sw-widget-title='Map'] .sw-btn-resource .sw-btn-t:after{
content: " THE MAP" !important;
}




/*******************************************
CSS targeting the Custom HTML Component


- Raises the edit link we styled above for the "Custom HTML" component over top of the map so it is accessible
- Removes component panel, header, etc. Basically, it hides everything except the edit link


*******************************************/


/* overwrites SolarWinds styling and moves link to top of all elements and to the top left of screen */
div[sw-widget-title='Custom HTML'] {
z-index: 500 !important;
position: fixed !important;
width: 20vh !important;
height: 10vh !important;
background: transparent !important;
box-shadow: none !important;
margin: 0 !important;
padding: 0 0 0 20px !important;
border: 0 !important;
}


div[sw-widget-title='Custom HTML'] > .HeaderBar {
border: 0 !important;
padding: 0 !important;
}


/* hides everything other than the edit link */
div[sw-widget-title='Custom HTML'] a.HelpButton,
div[sw-widget-title='Custom HTML'] a.sw-widget__title,
div[sw-widget-title='Custom HTML'] > .ResourceContent {
display: none !important;
}


/* adds text to end of edit link for readability */
div[sw-widget-title='Custom HTML'] .sw-btn-resource .sw-btn-t:after {
content: " THE PAGE CSS" !important;
}


</style>

Tach Zusammen!

 

Dieses Posting ist ein Inhaltsverzeichnis meiner deutschsprachigen Themen hier in thwack.
Ich versuche das Ding hier immer aktuell zu halten.

 

Falls euch irgendein Thema interessiert – Vorschläge sind immer willkommen.

 

Die Evergreens zuerst

Wie installiert man ein SolarWinds Orion® Modul
https://thwack.solarwinds.com/groups/thwack-emea/blog/2016/12/28/wie-jetztinstallieren

Network Discovery – Erkennungsvorgang
https://thwack.solarwinds.com/groups/thwack-emea/blog/2017/02/14/sonar-oder-wie-bekomme-ich-mein-zeug-in-solarwinds-hinein

Lizensierung
https://thwack.solarwinds.com/groups/thwack-emea/blog/2017/11/22/lizensierung-h%C3%B6here-mathematik-mit-katzen

 

Produkt-spezifische Informationen

Network Configuration Manager (NCM) Teil 1
https://thwack.solarwinds.com/groups/thwack-emea/blog/2017/03/22/ncm-auf-die-schnelle

Network Configuration Manager (NCM) Teil 2
https://thwack.solarwinds.com/groups/thwack-emea/blog/2017/03/30/ncm-auf-die-l%C3%A4nge

Server & Application Monitor
https://thwack.solarwinds.com/groups/thwack-emea/blog/2017/06/06/es-ist-ja-nicht-immer-das-netzwerk-es-gibt-auch-anwendungen

Patch Manager (SPM) Teil 1
https://thwack.solarwinds.com/groups/thwack-emea/blog/2017/07/24/einfach-mal-patchen-teil-1

Patch Manager (SPM) Teil 2
https://thwack.solarwinds.com/groups/thwack-emea/blog/2017/08/04/einfach-mal-patchen-teil-2

Patch Manager (SPM) Teil 3
https://thwack.solarwinds.com/groups/thwack-emea/blog/2017/12/13/einfach-mal-patchen-teil-3

Log & Event Manager
https://thwack.solarwinds.com/groups/thwack-emea/blog/2018/02/27/log-event-manager-ich-weiss-was-du-letzte-woche-getan-hast

Virtualization Manager
https://thwack.solarwinds.com/groups/thwack-emea/blog/2018/03/29/virtualization-manager-die-achte

Database Performance Analyzer – erste Schritte
https://thwack.solarwinds.com/groups/thwack-emea/blog/2017/11/30/dpa-erste-schritte

Log Manager für Orion
https://thwack.solarwinds.com/groups/thwack-emea/blog/2018/06/06/log-manager-f%C3%BCr-orion

IPAM und UDT

IPAM und UDT

Sever Configuration Monitor

SolarWinds Server Configuration Monitor

Access Rights Manager

https://thwack.solarwinds.com/groups/thwack-emea/blog/2019/01/22/access-rights-manager

SolarWinds Identity Monitor

https://thwack.solarwinds.com/groups/thwack-emea/blog/2019/10/30/ganz-neu-solarwinds-identity-monitor

Security Event Manager

Security Event Manager - neue Version

 

 

Monitoring - Basics

Datenbanken-Überwachung
https://thwack.solarwinds.com/groups/thwack-emea/blog/2016/11/30/immer-diese-datenbanken

Echtzeit Monitoring
https://thwack.solarwinds.com/groups/thwack-emea/blog/2017/08/25/echtzeit-monitoring

SolarWinds Orion Agents
https://thwack.solarwinds.com/groups/thwack-emea/blog/2017/03/10/agents

Keine Ausreden beim Patching

Warum Patching weh tut

 

 

Fortgeschrittene Themen

Orion Alarmierung
https://thwack.solarwinds.com/groups/thwack-emea/blog/2017/11/07/red-alert-alarm-%C3%BCberall

Orion Skalierung
https://thwack.solarwinds.com/groups/thwack-emea/blog/2017/12/20/orion-skalierung

Orion High Availability
https://thwack.solarwinds.com/groups/thwack-emea/blog/2018/01/25/high-availability

Orion Migration
https://thwack.solarwinds.com/groups/thwack-emea/blog/2018/04/27/orion-migration

Vyos
https://thwack.solarwinds.com/groups/thwack-emea/blog/2017/04/24/vyos

Sascha Giese

Log Analyzer

Posted by Sascha Giese Employee Jun 6, 2018

(Updated für Version 2.1)

 

Tach Zusammen,

 

Das Leben ist voller Herausforderungen.

 

Manche davon sind existentiell wie z.B. die Frage „was koche ich am Samstag“, manche basieren auf variablen Konstrukten wie „welchen Wein trinke ich dazu“.

Manche sind schwierig. Ich meine wirklich schwierig:

 

Aber manche Herausforderungen werden ganz einfach mit den richtigen Werkzeugen.

Erinnert ihr euch noch an Diskussionen zum Echtzeit-Monitoring und asynchrone Benachrichtigungen über Syslog und Traps?

 

Mit eurer Hilfe haben wir ein paar Herausforderungen beim Verwalten von Protokoll-Logs identifiziert:

  • Fehlende Integration zum normalen Monitoring

Ich habe ständig Logs die eintreffen und auf der anderen Seite ein Gerät welches ich über SNMP beobachte. Ich muss die Daten verbinden können sonst bringt mir das gar nichts.

 

  • Steigende Anzahl an Log-Quellen

Eine Infrastruktur wächst im Laufe der Zeit und damit steigt naturgemäß die Anzahl an Elementen die zu überwachen sind

 

  • Steigende Anzahl an Logs

Manche dieser Quellen senden eine große Menge an Daten. Nicht jede Quelle erlaubt das Selektieren bestimmter Meldungen vor dem Versenden

 

  • Speicherort der Logs

Wo lege ich die Logs ab, wie lange behalte ich sie? Ich kann vorab kaum einschätzen welche Ressourcen benötigt werden.

 

  • Visualisierung der Logs

Das ist ein großer Punkt! Syslog und Trap sind Textzeilen die unter Umständen nur schwer zu deuten sind. Ich muss das in den Griff bekommen und will nicht extra ein Studium anfangen. Ich muss verstehen was passiert. Jetzt.

 

Dank eurem Feedback haben wir den Bedarf erkannt und uns entschieden: Ja, wie hören euch und das bekommen wir hin!

 

In den letzten Monaten waren unsere Entwicklungsteams ziemlich beschäftigt und haben schliesslich ein komplett neues (und unserer Meinung nach beeindruckendes) Produkt geliefert um eure Probleme mit Logs zu beseitigen.

Ich freue mich also euch eine Vorschau geben zu können auf…


<trommelwirbel>

Log Analyzer

</trommelwirbel>

 

Was genau ist das Ding jetzt, und warum sollte mich das interessieren?

 

Zuerst einmal haben wir es mit einem neuen Modul für die Orion® Plattform zu tun das entweder für sich selbst läuft oder im Verbund mit anderen Modulen.

Besonders sinnvoll natürlich mit SolarWinds® Network Performance Monitor (NPM)!

 

Aber Moment, sagt ihr jetzt, Log Verwaltung…das macht ihr doch schon…

 

Richtig! SolarWinds hat schon einige Produkte für das Sammeln von Logs und jetzt kommt noch eins um die Ecke!

Man kann schon fast sagen wir sind Logging-Experten!

 

Kiwi Syslog®, Log & Event Manager (LEM/SEM), Papertrail™, Loggly® – und jetzt „LA“.
Wo sind die Unterschiede?

 

Schauen wir einmal – Papertrail und Loggly sind SaaS Produkte und zielen primär auf DevOps.

LEM/SEM ist eine SIEM Lösung die komplexe Regeln erlaubt, automatisierte Aktionen steuern kann und dient den Aspekten Sicherheit und Konformität.

Kiwi® hat tatsächlich eine ähnliche Zielgruppe wie LA, aber wenn Kiwi der Einstieg in die zentrale Log-Verwaltung ist, ist LA der nächste Schritt in Richtung Korrelation, Visualisierung und natürlich der Integration in die Orion Plattform mit all den Vorteilen.

 

Genug geredet, lasst uns das Ding einmal anschauen!

 

Nach der normalen Installation gibt es einen neuen Reiter im Menü, fantastisch!

 

 

Damit wir Daten bekommen klickt bitte auf ein Gerät das Logs sendet und auf „Edit Node/Knoten bearbeiten“ und scrollt ein wenig herunter:

 

 

Aufgepasst: Bei Syslog Knoten muss natürlich am Gerät selbst Syslog erzeugt werden. LA ist kompatibel mit normalem Syslog und TLS über TCP.

Bei einer Windows Maschine wird der Orion-Agent benoetigt.

In beiden Fällen muss der Knopf da oben ausgewählt werden.


Nach dem Eintreffen der ersten Logs finden wir einen neuen Button in der Management-Box:

 

Ich wähle aber den Einstieg über Dashboards --> Logs --> Log Viewer.
Wenn wir drauf klicken sieht es erstmal ein wenig aus wie der Performance Analyzer innerhalb der Plattform:

 

 

Oben haben wir die eingegangenen Logs der letzten 10 Minuten. Ich klicke auf die 10 Minuten und sehe:

 

Nett, wie beim PerfStack! Doch dazu später mehr.
Natürlich kann ich in der Zeitachse oben auch mit der Maus dynamisch einen Zeitraum auswählen.

 

Links finde ich einen Filter:

 

Im Moment ist nichts ausgewählt also sehen wir alle Nachrichten und diese natürlich in der Mitte.
Ganz unten die Anzahl an Events die im ausgewählten Zeitraum eingetroffen sind:


Klicken wir mal auf irgendeine Nachricht und sehen ein neues Element ganz rechts:

 

 

Ein paar Dinge sollten ins Auge fallen – wir sehen direkt das aktive Filtering welches Elemente als Login und in Grün klassifiziert:

 

Das funktioniert durch Regeln. Die finden wir rechts oben:

 

Aufgepasst. Links kann man zwischen vordefinierten und eigenen Regeln wählen:

 

Basteln wir uns einmal eine Regel?

Klickt auf „my custom…“ und dann auf „Create new rule“ um den Assistenten zu starten:

 

Ich habe verschiedene Bedingungen zur Auswahl – schaut euch das bei einem Livesystem einmal in Ruhe an, hier nur ein Beispiel:

 

 

 

Der nächste Schritt:

 

 

Zur Auswahl stehen uns schon ein paar Aktionen:

 

 

Taggen wir einmal!

 

Wir sehen eine Vorauswahl die um unsere eigenen Tags ergänzt werden kann:

 

Das Verändern oder Löschen von bestehenden Tags ist im Moment noch nicht über die Benutzeroberfläche möglich, kann aber über die Datenbank erledigt werden.

 

Alternativ können wir als Aktion auch Executables und Scripts ausführen und ein paar Variablen als Schalter übergeben:

Selbstverständlich kann ein Logevent auch einen Orion-Alarm auslösen:

 

 

 

Um die Bedienung innerhalb von LA so simpel wie möglich zu gestalten, wird der Alarm an dieser Stelle einfach weitergereicht und kann dann mit dem Advanced Alert Manager der Platttform weiterverarbeitet werden.

 

Windows Events sind übrigens schon vorgefiltert und mit Tags ausgestattet:

 

 

Gehen wir noch einmal auf die Übersicht zurück. Rechts oben neben den Regeln ist noch ein Knopf:

 

Jetzt werden die Events in Echtzeit angezeigt wenn sie hereinkommen und die Zeitachse oben ist dynamisch.

 

Es gibt auch eine Such-Box:

 

Wonach Suchen…im Grunde genommen kann ich nach allen Dingen suchen die in Logs auftauchen wie vielleicht IP Adressen, Zeit/Datum oder beliebigen Inhalten. Ich bin gerade so unkreativ und suche nur nach der IP meines NAS:

 

 

Die Suche funktioniert sowohl mit historischen- wie auch mit Echtzeit-Daten als adhoc Filter, und auch Geräteübergreifend. Das ist ziemlich praktisch. Trotzdem kommen mir jetzt Selbstzweifel. Schreibt man Geräteübergreifend oder geräteübergreifend? Was auch immer!

 

Natürlich haben wir auch eine neue Position bei den Einstellungen:

 

 

Dort finden wir folgendes:

 

Die beiden „Show“ Positionen sind Berichte. Das macht mich neugierig.


Es gibt auch ein paar neue DB-Einträge für eigene Berichte:

 

 

Aber Moment – da kommt noch was! Ich hatte den PerfStack erwähnt. Hier sehen wir SNMP Daten (von NPM) und Syslog beides in Echtzeit(!) nebeneinander.

Das ist High-End, oder?

 

 

 

Hier ist noch einmal ein Screenshot von der alten Liste von Syslogs innerhalb der Plattform. Keine Filter, keine Intelligenz, nur ein paar Zeilen Text!

 

 

Das hat sich nun geringfügig geändert

 

Hier ist eine Liste mit Funktionen vom alten und neuen Syslog-Empfaenger innerhalb Orion, und LA oben drauf:

LA feature comparison

 

Das sollte reichen für eine Vorschau zum Produkt. Nagut, noch eine Sache.

 

LA benötigt seine eigene Datenbank basierend auf 2016SP1 oder neuer.
Deswegen gibt es beim Installationsprozess auch eine neue Abfrage:

 

Wichtig: Wir empfehlen die SQL Volltext-Suche zu aktivieren.

 

 

Jetzt aber!
Bleibt nur noch die Frage, was am Samstag zu kochen.
Mein Vorschlag:
Pasta mit Salsiccia, Pistazien-Pesto und viel Parmesan.

Dazu passt hervorragend ein Glas Primitivo!

 

 

Macht’s gut!

SolarWinds uses cookies on its websites to make your online experience easier and better. By using our website, you consent to our use of cookies. For more information on cookies, see our cookie policy.