`
jaychang
  • 浏览: 734544 次
  • 性别: Icon_minigender_1
  • 来自: 嘉兴
社区版块
存档分类
最新评论

Zabbix通过JMX监控Tomcat(被监控端安装Tomat的服务器防火墙策略iptables配置)

 
阅读更多

 

一、目前的环境

 

被监控端192.168.153.191

/usr/local/tomcat

下载了catalina-jmx-remote.jar放到了tomcat安装目录的lib目录下,现在为止这个jar包没有派上用场。

/usr/local/jdk1.7.0_79

tomcat的bin目录添加了一个setenv.sh脚本(可以写成一行,这个百度下能找到)

CATALINA_OPTS="${CATALINA_OPTS} -Djava.rmi.server.hostname=192.168.153.191"
CATALINA_OPTS="${CATALINA_OPTS} -Djavax.management.builder.initial="
CATALINA_OPTS="${CATALINA_OPTS} -Dcom.sun.management.jmxremote=true"
CATALINA_OPTS="${CATALINA_OPTS} -Dcom.sun.management.jmxremote.port=12345"
CATALINA_OPTS="${CATALINA_OPTS} -Dcom.sun.management.jmxremote.ssl=false"
CATALINA_OPTS="${CATALINA_OPTS} -Dcom.sun.management.jmxremote.authenticate=false"

  按照平常的思维: 按理说只要在iptables里开放一个12345端口就可以了

 

Zabbix_Server及Zabbix_Java_Gateway端192.168.153.181

安装目录就不说明了,一般可以在/usr/local/zabbix_server,/usr/local/zabbix_java_gateway

主要是想说明两个配置文件

 

zabbix_server.conf

ListenPort=10051
LogFile=/tmp/zabbix_server.log
DBName=zabbix
DBUser=zabbix
DBPassword=zabbix
DBPort=3306
JavaGateway=127.0.0.1
JavaGatewayPort=10052
StartJavaPollers=5

 zabbix_java_gateway的配置文件(zabbix_java_gateway安装目录/zabbix_java/sbin/setting.sh)

LISTEN_IP="0.0.0.0"
LISTEN_PORT=10052
PID_FILE="/tmp/zabbix_java.pid"
START_POLLERS=5

说明

1)Zabbix_Server与Zabbix_Java_Gateway在一台机器上IP地址为192.168.153.181

被监控的机器上,装了tomcat ,IP地址为192.168.153.191

两台机器上的系统都为CentOS 6.5

 

2)已经通过前篇文章在被监控的机器上(192.168.153.191),配置好了JMX,防火墙(iptable)开放了12345端口。

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 12345 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

 

 二、存在问题

telnet 192.168.153.191 12345 是可以连上的,但是jconsole连不上,zabbix web页面上hosts项显示也是连不上



 

 

 

 

 三、寻找问题原因

从来没遇到过这样的奇葩情况,开始一路google,baidu。找了十几篇文章,都搞不定。有些文章指出使用(org.apache.catalina.mbeans.JmxRemoteLifecycleListener 这个类在catalina-jmx.remote.jar包中,在server.xml中配置一个Listener,我没试过,这个我想估计是解决的一个方法)。

 

偶然看到小日本的一篇文章让我茅塞顿开,文章网址:http://www.checksite.jp/jconsole-jmx-tomcat/

 

配置如下:

 setenv.sh文件内容

 設定内容 は以下になります。この設定で、リモートノードからJMXを使って(認証は行わずに)Tomcat の Java VM を監視できるようになります。

1
2
3
4
5
6
7
8
# cat setenv.sh
#!/bin/sh
 
export CATALINA_OPTS="-Dcom.sun.management.jmxremote=true
                      -Dcom.sun.management.jmxremote.port=10080
                      -Dcom.sun.management.jmxremote.ssl=false
                      -Dcom.sun.management.jmxremote.authenticate=false"
#

portは「10080」としていますが、環境に合致したポート番号を使っても問題ありません。
以下のように実行権限を与えておきます。

 

iptable的配置如下:

リモートノードからJMXを使って接続できるようにする為に、先ほど setenv.sh で指定したJMXポートに対する接続をFireWallで開放します。

私の環境では、iptables を使っているので、iptables での設定を以下に記載しておきます。

# iptables --list --line-number (←番号確認)
# iptables --insert INPUT (番号) -p tcp -s (ソースIP) --dport 10080:65535 -j ACCEPT
# iptables --list --line-number (←追加確認)
# /sbin/service iptables save (←ファイルへ保存)
# cat /etc/sysconfig/iptables (←保存ファイルを確認)

 

看来被监控JMX开启的监听端口肯定不止一个啊!马上改下被监控端的iptables

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 12345:65535 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

 

 结果还真TM连上了!有图有真相



 
但总感觉,不需要开那么多端口吧。。。于是想用二分法来试验,到底是从哪个端口到哪个端口。试了几个,感觉这个方法要找到这个临界端口的话,太麻烦了,感觉思路不对(猜根本就不是这么回事)。

 

偶然间敲了个命令:netstat -anlp(敲两次命令之间重启过tomcat,不过这里为什么显示的ip是192.168.153.19跟192.168.153.18,应该是192.168.153.191跟192.168.153.181,不过这个先不管!也许是虚拟机的问题,不管它,忽略!)

PS:192.168.153.2是我的windows宿主机

 

应验了上面的猜测,确实不是这么回事啊!

 

 重启tomcat后

 再重启tomcat



 

 

 从以上3个图看,得出结论,被监控端会开启两个端口,一个端口是12345(在被监控端tomcat安装目录的bin子目录下的setenv.sh文件中已经指明了CATALINA_OPTS="${CATALINA_OPTS} -Dcom.sun.management.jmxremote.port=12345"),另一个端口应该是动态随机的(因此无法知道JMX会监听哪个端口),这是一个比较头痛的问题!

怪不得小日本会这么写iptables的策略。

 

四、解决办法

1) 临时方案

将上述3张图,显示的33022或48289或36479,端口开放出来,但这种方式,重启tomcat,或重启服务器后就不行了,是下下策。

 

2)开放很多端口

一种办法就是在被监控端的iptables策略写成下面的方式。

-A INPUT -m state --state NEW -m tcp -p tcp --dport 12345:65535 -j ACCEPT

这个方法重启tomcat,重启服务器,都没问题,但是开放了太多端口。

 

3)终极方案

       就是要用到catalina-jmx-remote.jar (强烈推荐这种方案)

 

       下载catalina-jmx-remote.jar

       不同版本Tomcat有不同的catalina-jmx-remote.jar,在tomcat的下载页(我用的tomcat版本是7.0.62)面http://tomcat.apache.org/download-70.cgi,找到以下JMX Remote jar,把这个文件放到tomcat安装目录的lib子目录下

      修改Tomcat安装目录conf子目录下的server.xml配置文件

省略...
<Server port="8005" shutdown="SHUTDOWN">
  <Listener className="org.apache.catalina.startup.VersionLoggerListener" />
  <!-- Security listener. Documentation at /docs/config/listeners.html
  <Listener className="org.apache.catalina.security.SecurityListener" />
  -->
  <!--APR library loader. Documentation at /docs/apr.html -->
  <Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />
  <!--Initialize Jasper prior to webapps are loaded. Documentation at /docs/jasper-howto.html -->
  <Listener className="org.apache.catalina.core.JasperListener" />
  <!-- Prevent memory leaks due to use of particular java/javax APIs-->
  <Listener className="org.apache.catalina.core.JreMemoryLeakPreventionListener" />
  <Listener className="org.apache.catalina.mbeans.GlobalResourcesLifecycleListener" />
  <Listener className="org.apache.catalina.core.ThreadLocalLeakPreventionListener" />
  <Listener className="org.apache.catalina.mbeans.JmxRemoteLifecycleListener"
          rmiRegistryPortPlatform="12345" rmiServerPortPlatform="12346" />
省略...

       

  修改Tomcat安装目录bin子目录下的之前的脚本文件setenv.sh

CATALINA_OPTS="${CATALINA_OPTS} -Djava.rmi.server.hostname=192.168.153.191"
CATALINA_OPTS="${CATALINA_OPTS} -Djavax.management.builder.initial="
CATALINA_OPTS="${CATALINA_OPTS} -Dcom.sun.management.jmxremote=true"
#CATALINA_OPTS="${CATALINA_OPTS} -Dcom.sun.management.jmxremote.port=12345"#端口配置不用了
CATALINA_OPTS="${CATALINA_OPTS} -Dcom.sun.management.jmxremote.ssl=false"
CATALINA_OPTS="${CATALINA_OPTS} -Dcom.sun.management.jmxremote.authenticate=false"

 

   修改/etc/sysconfig/iptables 防火墙策略

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 12345 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 12346 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

    注意:与server.xml配置里的org.apache.catalina.mbeans.JmxRemoteLifecycleListener监听器所配置的端口一致

<Listener className="org.apache.catalina.mbeans.JmxRemoteLifecycleListener"
          rmiRegistryPortPlatform="12345" rmiServerPortPlatform="12346" />

   

    然后,重启被监控机器上(192.168.153.191)的tomcat,在windows宿主机上用jconsole.jar测试是否可以连接,结果连接成功了!

    

 


zabbix_server请求zabbix_java_gateway去连接JMX可能有一定延迟,所以需要等一会儿,JMX标志要过一会才会显示会绿色


zabbix web监控页面hosts项的192.168.153.191  的 JMX的标志也变绿了。大功告成!

1
0
分享到:
评论

相关推荐

    Zabbix通过JMX监控java中间件.docx

    为了使用 Zabbix 通过 JMX 监控 Java 中间件,需要先安装 Zabbix-Java-gateway,并配置 Zabbix 服务器和 Java 应用程序。下面是具体的配置步骤: 一、服务端配置(Zabbix-Java-gateway) 1. 确认已安装 JDK 2. ...

    zabbix 监控 tomcat

    本文将介绍如何使用 Zabbix 通过 JMX 监控 Tomcat,帮助初学的朋友快速上手。 监控 Tomcat 的必要性 Tomcat 作为一个流行的 Java Web 服务器,广泛应用于各种 Web 应用程序中。然而,随着应用程序的复杂度增加,...

    Zabbix通过JMX方式监控java中间件

    ### Zabbix通过JMX方式监控Java中间件的关键知识点 #### 一、Zabbix与JMX监控简介 **Zabbix**是一款开源的企业级监控工具,它能够监控网络中的各种硬件资源和软件服务的状态,并且提供了丰富的功能,如自动发现、...

    zabbix监控tomcat模版及jar包

    在提供的压缩包`zabbix监控tomcat相关软件及模板`中,可能包含了用于配置Zabbix服务器和Tomcat的必要文件,如Zabbix模板XML文件、JMX配置示例,甚至可能是自定义的监控脚本。这些资源可以帮助快速搭建起Zabbix对...

    zabbix监控tomcat的监控模板

    zabbix监控tomcat的监控模板

    Zabbix监控Tomcat详细指标(附模板)的资料

    Zabbix监控Tomcat详细指标(附模板)的资料 cmdline-jmxclient-0.10.3 catalina-jmx-remote

    Zabbix监控tomcat所需模板

    标题中的“Zabbix监控tomcat所需模板”指的是使用Zabbix来监控Tomcat应用服务器时所需的配置模板。这些模板包含了监控Tomcat的关键指标,如CPU使用率、内存占用、线程状态、请求处理时间等,帮助运维人员及时发现并...

    zabbix3.4.4监控tomcat

    zabbix3.4.4监控tomcat实例,需将此类放在tomcat的lib下

    zabbix监控tomcat资源

    在监控Tomcat时,我们可能需要在Tomcat服务器上安装Zabbix Agent,并配置其与Tomcat JMX通信的参数。 文件列表中的"catalina-jmx-remote.jar"是Tomcat中的一个关键库文件,它包含了JMX远程访问所需的功能。通常,...

    Zabbix实现监控tomcat,自动启动崩溃tomcat.zip_tomcat_tomcat运行监控_vastgi7_zabb

    首先,我们需要在Tomcat服务器上安装Zabbix Agent,然后在Zabbix Server上配置相应的监控项。这些监控项可能包括Tomcat的进程状态、CPU和内存使用率、线程数、请求处理时间等。这些指标可以通过JMX(Java Management...

    zabbix监控多个tomcat资源

    2. **安装JMX代理**:在Zabbix服务器上安装JMX代理,如`catalina-jmx-remote.jar`,这个文件通常位于Tomcat的`lib`目录下。配置JMX代理以允许Zabbix服务器连接。 3. **创建Zabbix监控项**:在Zabbix界面中,创建新...

    zabbix监控tomcat

    在Tomcat中,JMX可以通过配置`server.xml`文件启用,添加`&lt;MBeanServer&gt;`标签并配置`catalina-jmx-remote.jar`。这将开启远程JMX连接,使得Zabbix可以获取Tomcat的管理信息。 2. **配置Tomcat JMX访问**: 在Tomcat...

    zabbix监控tomcat多实例自动化脚本配置

    1. **脚本编写**:你需要编写一个shell或者Python脚本,该脚本将遍历目标服务器上的Tomcat安装目录,查找`conf/server.xml`文件,这个文件包含了Tomcat实例的相关信息。通过解析`server.xml`,你可以获取每个实例的...

    zabbix监控tomcat所需的cmdline-jmxclient-0.10.3.jar和zbx自定义模版

    总之,通过使用`cmdline-jmxclient-0.10.3.jar`和定制的Zabbix模板,你可以实现对Tomcat服务器的高效、全面监控,提高系统的稳定性和可维护性。这个解决方案尤其适合那些需要密切监视Tomcat性能的大型企业或开发者...

    zabbix监控tomcat所需资源包下载附带教程

    本资源包是针对Tomcat服务器监控的一个重要辅助工具,主要包含cmdline-jmxclient-0.10.3.jar,这是一个Java管理扩展(JMX)客户端,允许通过命令行接口与Tomcat服务器进行交互,获取监控数据。 Tomcat是Apache软件...

    zabbix监控山石防火墙

    山石系列zabbix监控模板

    Zabbix监控nsfocus防火墙模板

    使用Zabbix监控nsfocus防火墙设备已运行时间,业务端口带宽、CPU、内存以及业务端口状态和会话数,并设置告警触发器、图形。 注意:需更改设备地址、zabbix代理地址、SNMPv3相关账号密码信息后再导入。

    cmdline-jmxclient-0.10.3.jar + zabbix tomcat监控模板

    本文将详细讲解如何利用`cmdline-jmxclient-0.10.3.jar`工具与Zabbix集成,实现对Tomcat应用服务器的高效监控。 首先,`cmdline-jmxclient-0.10.3.jar`是一个命令行Java Management Extensions (JMX)客户端,它允许...

    jmx测试包用于检查zabbix的监控项是否正常

    标题中的"jmx测试包用于检查zabbix的监控项是否正常",意味着这个测试包是为了解决一个特定的问题:确保Zabbix通过JMX接口正确地收集和显示了目标系统的监控数据。Zabbix是一款开源的网络监控工具,它可以监控各种...

    TongWeb7的JMX监控.doc

    通过 JMX,你可以监控和管理 TongWeb7 中的 MBeans(Managed Beans),这些 MBeans 对应于服务器的不同组件或服务,提供了丰富的属性、操作和通知。例如,你可以查看和调整应用服务器的线程池大小、内存使用情况、...

Global site tag (gtag.js) - Google Analytics