SME 7.5 + SystemMonitor = Traffic réseau croissant

par **HP77** » 31 Oct 2010 05:12

Bonjour,

Je viens à vous pour tenter de comprendre et pouvoir solutionner le problème suivant :
- J'ai un serveur SME 7.5 en mode "Private Server Only" (une seule interface réseau sur cette machine)
- Le 26-10-2010 : Installation de la contribution SystemMonitor
- Ce 31-10-2010 : Découverte de traffic réseau étrange et croissant sans interruption

Etant encore loin d'être un expert Linux / SME, je me permets de vous consulter avant de tenter des choses "hasardeuses" pouvant rendre l'analyse et la réparation du problème bien plus difficile.

Merci de m'avoir lu.

Cordialement,
HP

par **Franck78** » 31 Oct 2010 15:42

Hello,

"iftop" est pratique pour investiguer rapidement. C'est l'équivalent de 'top' pour les interfaces réseau.

"netstat --inet -l" essayer les options, pour vérifier qui écoute sur le serveur.

bye

par **jibe** » 31 Oct 2010 21:00

Salut,

Pas trop d'idées sur le coup, sauf bien sûr à voir de plus près quel est ce trafic avec les outils préconisés par Franck78 ou un quelconque sniffeur de réseau.

Mais je remarque une chose qui pourrait peut-être mettre rapidement sur une piste : il y a des fronts d'augmentation à chaque changement de date, sauf le 28, et celui du 30 est nettement plus haut que les autres. Ce qui m'amène à me poser les questions suivantes :
- Est-ce bien system monitor qui génère directement ou indirectement ce trafic, ou n'est-ce qu'une coïncidence ?
- Pourquoi ces fronts à chaque changements de date ? Que ce passe-t-il à ce moment là ?

Il est possible que cela ne mène à rien. Mais je pense qu'une petite vérification rapide ne mange pas de pain et pourrait aboutir à un début de piste, voire à la solution...

par **HP77** » 01 Nov 2010 09:17

Bonjour,

Bien merci de m'avoir répondu si vite.

Alors, pour répondre à Franck78 :

Code: Tout sélectionner: login as: root root@aaa.bbb.ccc.xxx's password: Last login: Sun Oct 31 10:56:13 2010 from uuu.vvv.www.xxx [root@ga-d510ud ~]# iftop -bash: iftop: command not found [root@ga-d510ud ~]# netstat --inet -l Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 *:imaps *:* LISTEN tcp 0 0 *:printer *:* LISTEN tcp 0 0 *:pop3s *:* LISTEN tcp 0 0 *:afpovertcp *:* LISTEN tcp 0 0 *:ldap *:* LISTEN tcp 0 0 *:netbios-ssn *:* LISTEN tcp 0 0 *:pop3 *:* LISTEN tcp 0 0 localhost:783 *:* LISTEN tcp 0 0 *:imap *:* LISTEN tcp 0 0 *:http *:* LISTEN tcp 0 0 *:smtps *:* LISTEN tcp 0 0 localhost:http-admin *:* LISTEN tcp 0 0 127.0.0.2:domain *:* LISTEN tcp 0 0 ga-d510ud.atom-510.d:domain *:* LISTEN tcp 0 0 ga-d510ud.atom-510.dynd:ssh *:* LISTEN tcp 0 0 localhost:squid *:* LISTEN tcp 0 0 ga-d510ud.atom-510.dy:squid *:* LISTEN tcp 0 0 *:smtp *:* LISTEN tcp 0 0 localhost:26 *:* LISTEN tcp 0 0 *:https *:* LISTEN tcp 0 0 localhost:4700 *:* LISTEN udp 0 0 ga-d510ud.at:netbios-ns *:* udp 0 0 *:netbios-ns *:* udp 0 0 ga-d510ud.a:netbios-dgm *:* udp 0 0 *:netbios-dgm *:* udp 0 0 *:radius *:* udp 0 0 *:radius-acct *:* udp 0 0 localhost:domain *:* udp 0 0 127.0.0.2:domain *:* udp 0 0 ga-d510ud.atom-5:domain *:* udp 0 0 *:icpv2 *:* udp 0 0 ga-d510ud.atom-51:icpv2 *:* udp 0 0 *:37701 *:* udp 0 0 ga-d510ud.atom-510.:ntp *:* udp 0 0 localhost:ntp *:* udp 0 0 *:ntp *:* [root@ga-d510ud ~]#

Bon, je veux bien essayer de comprendre mais, là, ça ne "me parle pas" encore assez. Je manque encore de pratique...

Pour répondre à Jibe :
Effectivement, les pics sont assez réguliers comme la "pente" de l'accroissement du traffic qui paraît linéaire comme sur la catpure d'aujourd'hui mais plus du tout dès que j'accède aux graphes de System Monitor depuis Serveur-Manager. :-k

Peut-être une piste confirmant un lien de cause à effet de System-Monitor mais pas forcément l'origine exacte du problème.

Juste pour information, voici la liste des autres contributions installées auparavant sur ce serveur :
- eJabberd => totalement désactivé (j'espère bien) par retour aux paramètres par défaut. N'a jamais voulu fonctionner sur mon système (imposible de créer le compte admin...

- CronTab Manager => Jamais utilisé (pas encore le temps), juste pour tester. Installé sur d'autres serveur SME 7.5 = No problem !

Maintenant que j'y pense, il se peut que le problème eut été déjà là. Mais, invisible car System-Monitor n'était pas encore installé sur le système... #-o

Bon, le même eJabberd est installé sur un autre serveur SME, celui qui me sert un peu à tout pour le moment et depuis la mi-Juillet au boulot; pas eu ce phénomène.
Et pourtant, lui aussi a bénéficié de Contrab-Manager et des mêmes tests et mise au rebut de eJabberd. :-k

Bon, que puis-je faire, s'il y a encore lieu de se préoccuper de ce bazard ?

:arrow:

Plus j'y pense en rédigeant ce "billet"/"post", plus mon intuition se porte sur eJabberd.

Je vais tenter de désinstaller ce "machin-là" mais comment être sûr que ce sera fait proprement ?
(j'ai l'impression qu'il y a des choses pas très "carrées" dans la "version SME 7.x" :roll:

)

Si jamais j'ai bel et bien merdé lamentablement quelque part, je vous prie de bien vouloir m'en excuser.

En attendant, je remet ce serveur de test à l'arrêt, ce sera un peu moins sale sur le réseau. :wink:

Cordialement,
HP

P.S.

jibe a écrit:...
- Pourquoi ces fronts à chaque changements de date ? Que ce passe-t-il à ce moment là ?

J'imaginerais bien quelque chose de lié à un "backup" des 'RRDB' ou quelque chose comme ça mais, je voudrais du conrêt plutôt que des suppositions de premier abord.
:arrow:

Que devrais-je regqrder en tout premier lieu (messages.log, ??????.log, etc...) ?

[edit]2010-11-02 @ 00h48 GMT+08:00 - ajout du lien manquant pour "[url]la catpure d'aujourd'hui[/url]"[/edit]

par **jibe** » 01 Nov 2010 10:52

Salut,

Si tu as ou soupçonnes des problèmes avec eJabberd, j'ai créé un topic pour cela. Il faudrait soit des arguments plus fondés pour mettre en cause cette contrib, soit confirmation par d'autres qu'il y a bien un problème. Jusque là, je n'ai eu vent que de soupçons, assez pour que ça m'interroge, mais bien trop peu argumentés pour que je les prenne plus au sérieux.

Ne passe pas trop de temps avec mes suggestions : les vérifications doivent être plus faciles et rapides que l'analyse du trafic, sans quoi c'est cette analyse du trafic qui te mettra le plus rapidement sur la bonne piste (ne serait-ce que pour vérifier que ce ne soit pas du trafic généré par le serveur Jabberd). Jette un oeil à /var/log/messages, aux logs spécifiques des contribs et services que tu soupçonnes, mais je répète ne suis que les pistes qui te semblent réellement intéressantes. Garde ton énergie pour l'analyse du trafic :wink:

Jabberd était un excellent candidat. Tu l'arrêtes, et tu vois si ça change quelque chose. Sinon, tu passes à autre chose, et s'il n'y a plus rien de flagrant, passe à l'analyse du trafic : si c'est Jabberd qui a mal été désinstallé et qui continue à générer un trafic parasite, ça t'y ramènera. S'il n'y a pas de trafic Jabberd, tu règleras sa désinstallation plus tard : c'est un autre problème, ne traite pas tout à la fois :wink:

par **sibsib** » 01 Nov 2010 23:26

hello,

Si vraiment le trafic est important, iptraf qui est installé en standard sur SME peut aider à identifier les adresses et les ports qui causent.

A+,
Pascal

par **HP77** » 08 Nov 2010 13:33

Bonsoir,

Désolé de revenir sur le sujet si tardivement.
Dsésolé et déçu de voir que mon précédent message n'a semble-t-il pas été posté après y avoir passé pas mal de temps. deçu.

Bon, aujourd'hui, j'ai enfin pu faire "fonctionner" ZoneMinder (plutôt accéder à son interface de gestion en PHP).
Résultat : problème de traffic réseau = inchangé.

Juste pour résumer :
J'ai utilisé iptraf et cet outil génial (et "convivial" au passage) m'a laissé un peu perplexe sur ce que j'ai vu défiler mais, il m'a mis sur la piste d'entrées-sorties incessqnte sur des ports différents mais tous rattachés à l'adresse IP de ma seule interface réseau Ethernet physique.

En plaçant à nouveau le server (de test) concerné derrière mon routeur, je n'ai pas vu clignoter la LED du switch intégré à toute vitesse comme attendu. => confirme le traffic "interne" au serveur.

Bon, je tâcherais d'apporter plus d'éléments concrêts (à base de log, dump, etc...) pour la réflexion sur le problème qui se cache derrière tout ça mais, j'ai un souci : où sont donc les logs (s'il y en a) de totu ce qui défile en bas de lécran dans iptraf ?
J'ai eu beau chercher (via WinSCP), je n'ai rien trouvé y ressemblant.

Bon, je vais tenter de m'y remettre d'ici la fin de la semaine mais ça risque de dépasser la fin de la semaine prochaine pour un nouveau retour d'infos, je le craints (surcharge boulot...).

Si, d'ici là il vous vient une idée/piste à explorer... :wink:

Merci encore pour votre coup de main.

Bien cordialement,
HP

par **HP77** » 12 Déc 2010 18:56

Bonsoir,

Je m'apperçois avec grand regret (et honte/déception pour ceux qui m'ont répondu si vite) que je n'ai jamais posté mon message, toujours sous forme de brouillon incomplet depuis le :

Panneau de l'utilisateur - Gestion des brouillons a écrit:02 Nov 2010 10:29 Re: SME 7.5 + SystemMonitor = Traffic réseau croissant

Sujet: SME 7.5 + SystemMonitor = Traffic réseau croissant Charger un brouillon
Voir et/ou éditer

Je vais tenter de finaliser cela mais, entre fin de projets cette semaine, déménagement/grand ménage et préparation du départ pour la France (qui tombent tous cette semaine), j'avoue que je commence sérieusement à envisager à demander une aide divine pour m'aider à tenir tous les bouts... [-o<

Bon, on verra bien ce que j'arriverais à faire, si jamais cela ne tient pas déjà du miracle sur-humain? :wink:

Merci encore à vous tous !

Très Cordialement,
HP

par **unnilennium** » 27 Fév 2011 10:57

bonjour,

le "traffic reseau" dans cette contribution est en fait le volume échangé total depuis le démarrage de l'interface ou sa réinitialisation.

cela ne peut donc que augmenter ou rester stable .... jusqu'à une réinitialisation où ca retombre à zero.

ce n'est pas un bug de ta sme, ni un bug de la contrib, c'est le but... le seul bug que j'y reproche c'est que cela ne garde pas en mémoire en cas de réinitialisation avec une remise à zero le 1er du mois.

JP

par **HP77** » 28 Fév 2011 04:07

Bonjour,

unnilennium a écrit:bonjour,

le "traffic reseau" dans cette contribution est en fait le volume échangé total depuis le démarrage de l'interface ou sa réinitialisation.

cela ne peut donc que augmenter ou rester stable .... jusqu'à une réinitialisation où ca retombre à zero.
...
ce n'est pas un bug de ta sme, ni un bug de la contrib, c'est le but...

Je serais d'accord si :
1. Cela (= cumul / total) etait clairement affiche en titre du graphe concerne ;
2. Cela s'etait toujours comporte de la sorte sur toutes mes autres machines SME ;
3. Si tous les autres graphes ne montraient pas l'etat a "l'instant t" de tous les autres parametres (usage CPU, espace disques, temperature, vitesse ventilos, utilisateurs Samba, etc... ET debit reseau sur chaque interface, dont la fameuse bond0 que je n'utilise pas).

En fait, je pense plus a un petit bug qui fait que cette valeur "instantannee" n'est plus prise comme telle mais comme un cumul...

unnilennium a écrit:...
le seul bug que j'y reproche c'est que cela ne garde pas en mémoire en cas de réinitialisation avec une remise à zero le 1er du mois.

+1 !
J'aimerais bien moi aussi voir le passage "glisser" a l'ecran (= sur les graphes) de manieres un peu plus "smooth" (= douce ?? je commence serieusement a en perdre mon francais...)

A+
Cordialement,
HP_