程紫燕，蒋晓山， 陈存田， 张甲瑞

(1.山西省地震局，山西 太原 030021；2.山西省地震局太原地震监测中心站，山西 太原 030025；3.太原大陆裂谷动力学国家野外科学观测研究站，山西 太原 030025)

0 引言

山西省地震局于2012年进行Nagios的部署，用于区域通信骨干网运行质量的监控管理。2017年，增加Nagvis对地震台站局域网的统一监控展示。采用的操作系统均为suselinux10版本，其安全防护能力较差，2017年12月部署的防病毒系统也不支持该版本，对系统的安全防护带来诸多问题。在现有条件下，如何采用完善的操作系统平台是提升监控系统安全防护能力的重中之重。

1 CentOS 7操作系统基本情况

CentOS 7是一个基于Red Hat Linux提供可自由使用源代码的企业级Linux发行版本，每个版本的CentOS都会获得十年的安全更新支持；CentOS 7 在内核层面支持Docker容器技术，可提高Docker技术的稳定性和可靠性[1]。山西多业务监控系统部署的操作系统环境CentOS 7.4正式发布于2017年9月，当前主流的防病毒系统均支持该版本的操作系统。

2 业务监控系统设计方案

基于CentOS7搭建多业务监控系统，采用C/S和B/S 模式，利用Nagios开源网络监控软件实现对山西地震行业网内运行的测震台网、地球物理台网、信息网络及应急视频会议系统数采、网络设备、服务器、视频终端等客户端网络设备运行状态、服务的监控及故障报警等[2]，通过Nagvis软件将各类Nagios监控信息在用户选择的背景图片上展示出来。

Nagios开源网管系统自2010年开始在中国地震信息网络系统部署应用，可对各类主机、设备、服务进行全面监控，具备丰富的扩展功能[3]。除具备基本的监控终端运行状态监控功能外，还使用NDOUtils插件实现将Nagios系统的配置与监控信息写入数据库，应用NRPE插件监控服务器运行情况，采用Nagvis为Nagios的监控实现图形化展示。

2.1 监控系统环境设计

系统面向山西地震监测各业务系统运维管理人员的需求设计，采用Nagios实现各业务系统监控客户端运行状态的实时监控及监控数据的列表化展示，采用Nagvis实现图形界面展示，Nrpe实现对服务器运行状态的监控，NDOUtils实现对监控数据的统一管理存储(见表1)。

表1 监控系统使用主要软件配置表

2.2 监控代码设计

监控对象分组是对象定义时必须进行的操作[4]，为方便业务系统管理人员识别，系统通过设备安装位置、业务和设备属性进行监控代码设计。其中，山西地震信息网络区域代码为14。安装位置(单位)属性编码如表2所示；业务属性编码的信息、测震、前兆、应急和办公业务属性代码分别设计为01、02、03、05和08；设备属性编码采用设备型号简写进行统一编码设计。如，太原站SS-Y型伸缩仪监控代码为14_102_03_SS-Y。

表2 山西地震行业网节点位置属性编码表

2.3 图形界面设计

从运维管理人员的需求角度将各业务系统监控要素集中展示在同一界面上，按运维主体进行分类，标注运维单位和联系方式，便于各级运维人员在故障发生后联络(见图1)。

图1 测震业务系统监控界面设计

3 监控系统部署

3.1 系统部署前优化

采用最简化方式安装CentOS 7操作系统，进行优化以便于Nagios等业务软件的安装(包括关闭selinuxhe和firewall、会话超时设置、密码重复性限定、禁止root用户远程登录、用户登录失败锁定、网络连接配置、设置字符集、ssh连接、授时设定等)。因系统采用MySQL数据库环境，需卸载CentOS7自带的mariadb数据库。

3.2 数据库与PHP安装

使用cmake工具进行MySQL数据库环境部署，本机数据库访问采用socket套接字文件进行连接(socket =/usr/local/mysql/mysql.sock)，图形展示服务器对数据库的访问采用TCP/IP连接方式(mysql -u root -h 192.168.0.2 -p)。

安装PHP脚本环境，通过PHP连接MySQL数据库。因CentOS7下PHP缺少sockets和openssl组件，需开启PHP的sockets和openssl扩展。使用./configre进行sockets配置，具体配置如下：

./configure --prefix=/usr/local/php --with-php-config=/usr/local/php/bin/php-config --with-openssl --enable-sockets

安装中，为避免出现link的iconv 函式库参数报错，系统还安装了libiconv库。

tar xf libiconv-1.15.tar.gz

cd libiconv-1.15

./configure --prefix=/usr/local

make

make install

3.3 监控软件Nagios部署

安装nagios之前需安装依赖包，然后依次添加用户和组、编译安装nagios、nagios-plugins，配置并启动nagios，完成后用户就可通过浏览器访问nagios的服务器Web界面[2]。

该系统浏览器采用自带的Apache，在Apache默认配置文件中修改监听端口，创建运行httpd的用户组与用户，修改默认索引页面DirectoryIndex index.php index.html，添加AddHandler application/x-httpd-php .php和LoadModule php7_module modules/libphp7.so后，重新编译PHP使其直接Apache。

3.4 图形展示软件Nagvis部署

基于CentOS 7操作系统，可使用Nagvis Xi实现监控的图形化展示，该软件需购买License方可满足大量监控对象的需求。系统通过部署一台Suselinux10虚拟服务器并安装Nagvis 1.6.6，通过与Nagios服务器监控数据的匹配，同步实现图形化实时监控。

4 监控系统实现

4.1 业务运行质量统计

通过Nagios监控服务器Web页面查看各组监控对象的网络状态(其中本地服务器通过nrpe插件实现监控)、故障通知和故障历史、日志文件等，并可轻松得到每天、每周、每月和每年的运行状况[5](见图2)，实现各业务系统监控终端的日、周、月、年运行率查询。数据根据设计时间频次通过NDOUtils插件工具保存至MySQL数据库中，为个性化的汇总统计各台网运行质量提供依据。

图2 运行质量不同时间段统计选择页面

4.2 运行状态图形化展示

通过监控系统Nagvis下的各业务系统监控背景展示图片设计及监控对象的图上标识与参数配置，可查看各组监控对象的实时运行状态(见第48页图3、图4，“√”为运行正常状态、“×”表示设备不可达或服务异常)。

图3 测震台网图形化实时监控状态页面

图4 陆态监测站点实时监控状态页面

5 监控系统应用分析

5.1 安全性

CentOS 7满足山西省地震局2018年网络安全防护项目部署的360天擎防病毒系统软件安装要求，监控服务器可通过防病毒软件客户端安装提高安全防护能力。通过修改操作系统的root用户名、限制用户及IP SSH登陆、设置系统口令政策、防止IP SPOOF(欺骗)、注释掉系统不需要的用户和用户组、关闭系统一些不需要的服务、修改别名文件、禁止使用Ctrl+Alt+Del快捷键重启服务器、服务器禁ping和隐藏服务器系统信息、部分文件夹不可更改属性等方式[1]，提升系统的安全性。相比原来在Suselinux10下部署的监控系统无安全防护状态而言，现在的安全性得到大幅提升。

监控系统使用大量的插件和MySQL数据库，进行安装配置时考虑此类插件、数据库的安全配置。如，用户口令复杂性设置、访问权限设置等。系统尽可能使用安全性较高的版本和较新的插件，部分插件出现版本兼容性问题，无法使用最新版本或补丁修复，随着各功能插件的兼容性和安全性的提升，系统的安全性问题可逐渐完善。

5.2 可用性

系统面向各业务系统运维管理人员的需求设计，有针对性地根据测震台网、地球物理台网、信息台网、GNSS网络等监测业务属性分类配置模板、制作背景图件，实现各台网运行状况自动统计与运行状态展示，便于各业务系统管理人员的日常监控、统计管理，提升维护效率。监控对象可根据用途或类别、管理或使用部门等单独编辑模板，上传实现精细化的分类监控，简单易操作的监控对象配置、分组文件配置，为之后根据个性化需求完善监控内容提供较好的基础。系统采用的包括虚拟软件、操作系统、数据库、应用软件及各类插件均为开源软件，无任何费用，满足行业网、局域网内多种业务常规监控管理需求，部署成本低，易操作，便于推广。

因监控对象地址需为可访问的固定静态地址，无法实现基于物联网、PTN集成接入通信模式等无固定IP终端的监控。

6 结语

基于CentOS 7部署的多业务监控系统，可满足目前山西地震台网测震、前兆、网络、应急等基本业务运行状态的实时监控及运行质量评估统计。可通过系统加固、应用软件及插件等的安全配置和防病毒软件的部署等，满足信息系统等级保护相关要求。系统具有低成本、高可用性，可为提升业务系统的管理维护效率、提高运行质量提供保障，具有较好的应用前景。