22-6. キャッシュサ−バはそれなりに `2c/01〜 (1) 増加するパケットとの戦い * 増加するパケットとの戦い *** 予想はしていたことだが対応はかなり難しい *** i-FILTER はキャッシュ機能がある。 ちょっと見たら Ver.8 には IPv4/IPv6 変換機能搭 載と出てた。i-FILTER で ICAP 連携するドキュメントが検索してたらあった。 BlueCoat のキャッシュサ−バも、先日のホテルでのSI業者の展示会で IPv4/IPv6 変換 に使っていたぞ。市販の製品は今でも BlueCoat 社のしか実質ない。`2c/05 だったか。 小生、i-FILTER はコンテンツフィルタ−のイメ−ジが強いバイ。 新聞社サイトはいいが 野球サイトは見せないようにするとかの。いやだね−、そういうのって。 LinkProof は去年かそこらに仕組みがだいぶ変わったとか。このこともうどこかに書いた かな。どうなったのかまでは知らんけど。 IPv6 のインタ−ネットはすいているのだと。 とあるホテルでの展示会でデモを見せても らった。その時 IPv4 が 13msec だったのが、IPv6 は 3msec だった。OCNのIPv6網?。 インタ−ネットの出口のところでの MRTG を見る。 IWSS でパラメ−タを調整できるとこ ろがないか。Squid を仮想マシンでやってみる。多段プロキシのことを調べること。 スカイプは組織では禁止にしている所が多い模様。情報漏洩ということでなく、スカイプ のパケットは制御できない、やりぬくい。そういう意味で使用は禁止にした方がいい。 * プロキシキャッシュサ−バの活用 みかけ、インタ−ネットのサイトの表示を速くする。プロキシそれにキャッシュサ−バ機 能を設置する。Squid を設置。パソコンから Squid へ行ってキャッシュ、そして IWSSで Webレピュテ−ションをやる。アイデアとして2012年初めには思いついていた。 UTM のプロキシが使えるか?。 ファイアウォ−ルに今回設置した FortiGate にある機能。 画面メニュ−には [システム]->[ネットワ−ク]->[Webプロキシ] Explicit Web Proxy オ プション、一般オプション(Explicit Web Proxy とトランスペアレント Web キャッシュ)。 これまでの ProxySVR も微力ながらキャッシュを使うか。ProxySVRをフロントにしてキャ ッシュし、多段で IWSS へ投げてそこでWebレピュテ−ションをする。どうしても遅い と思うユ−ザには、この予備のプロキシサ−バがあるよということで使ってもらう。 社内のポ−タルサイトはプロキシサ−バは通さずに直接アクセスするよう、IEブラウザ では設定されている。キャッシュが効くのは、休憩時間に皆がヤフ−を見に行く位しかな い。実のところ無いのではないか。 プロキシサ−バの多段構成の2段目を隣接工場や営業所や支店に設置するというのは、い いやり方だろうと思う。 IP-VPN や広域イ−サネットでのWAN回線を増速することなく 見かけインタ−ネットのアクセスを速くできる。 まあいろいろあるかも知れないが、Squid のこと調べやってみよう。雑誌の記事なんかは どうか。本は出ているのか、2004年ぐらいに Squid の本が1冊あるか。 2009年 の「Software Design」によれば7%から30%位の速度アップ効果が見込まれるという。 * 遅いと言われても−今では 古い奴だとお思いでござんしょうが。駅弁の包みを開いて先ずひっついた米粒から食べる 世代。西条秀樹ではないんです。"遅いと言われても−" というような題のつけかた。 ア イザック・アシモフ氏の本なんです。"遅いと言われても−、今では遅過ぎた−"。 遅いと言われるのが一番困る。しかも漠然と。何かやったんだろうって。具体的に何が遅 いの。遅いというサイトを聞きだして。仕方ないので、そのサイトを10分毎にクリック して開けてみる。特に遅くはないぞ。 どう遅いのと聞いてやると、返事がかえってこないこともまま。半分はそうかも。仕事に 関係ないところをみている。と予想する。それで具体的にどこかサイトの名前を教えてく れというと黙るという。 続けて3回そのサイトをクリックして、ペ−ジが表示できません。そういうことが数回お きただけで、業務ではこれでは使えませんと言ってくる。しかしそういうのも貴重な意見 である。むげにはできない。 オフィスで他のパソコンでも遅いか確認。ひょっとすると隣のパソコンでは、ちっとも遅 くないかも知れない。ブラウザのキャッシュが一杯になっているとか、別な原因があるか も知れない。パソコンのDNSの参照先、DNSの問題かも知れないよ。 http://www.iij.ad.jp/ にアクセスしてみる。プライベ−トで見るようなサイトではない。 しっかりしたWWWサ−バと回線が用意されているはず。社内のポ−タルサイトへのアク セス。インタ−ネットのサイトへのアクセスが遅いのか、社内WWWサ−バも遅いのか。 * プロキシサ−バのパフォ−マンス HP仮想サ−バでの性能の様子は、パフォ−マンスの調整は。 [概要]->[システムダッシ ュボ−ド] 帯域幅、同時接続数、CPU使用率、物理メモリ使用率。 これら時系列のグラフ 表示、これらの様子を見ていけばいいか。IWSS のWebアクセスでの制御画面も見たい。 トレンドマイクロのエンジニアさんに聞いてみたこと。メモリの使用状況は通常 20〜30% 位が適当。自分の感触では、昼休みの混んでいる状況でも 50% 前後位のものか、70%位に なっていればリソ−ス不足になっているとみた方がいいだろう。CPUは10%以下だろう。 サ−バ自体のパフォ−マンスはどうか。負荷が増大してレスポンスが悪くなっているとか。 SI業者に話を聞いたら、お客さんところでプロキシサ−バを今時の製品、能力の高いも のに変えたら、格段にレスポンスがよくなったとこがあったとのことだった。 * 似たような製品からの情報収集 Riverbed Technology 社のセミナ−に一度でてみよう。 WAN高速化装置 Steelhead の 会社。キャッシュということで似たような機能である。何か参考にできることがあるかも しれない。セミナ−登録の画面に "A joint solution by riverbed and Akamai"と書かれ ている。Akamai のサ−ビスとどう関係があるのか気になる。WAN最適化 Steelhead 製 品、NECがOEMで出している。 名古屋でのセミナ−に出てみた"Riverbed Performance Summit 2012 - WORLD TOUR 2012"。 アカマイと提携してハイブリッドクラウドのサ−ビスを展開している。背景にはクラウド のサ−ビスを期待して利用を開始するのだが、遅くて使えないということがある。アカマ イはインタ−ネットの網の中に作った高速道路。いや高速道路という表現は適切ではない な、独自に調べた速く行ける経路か。 アカマイは1998年設立。アメリカのケンブリッジに本社、従業員は2300人。日本 法人は50人。MIT の研究プロジェクトから生まれた会社。セキュリティを確保しつつイ ンタ−ネットをより速くすることが使命。 アカマイの SureRoute のパス(経路)を使うと 遅延が 85 msec が 25 msec になるとのこと。話ではアメリカの西海岸と東海岸とのこと だったか。アカマイは一般にはあまり知られてないが、すでに身の回りにある。 [ リバ−ベッド社のセミナ−での聞き取り ] ・SaaSは60倍遅い。SaaSアプリ $2.75〜9.95/ユ−ザ/月額。 ・クラウドアクセラレ−タ。Steelhead Cloud Accelarator。 ・Google Apps、Office 365、SalesForce(SFDC) の3つのみサポ−ト。 ・リバ−ベッドとアカマイによる SaaS の高速化サ−ビス。 ・アカマイ・テクノロジ−ズ合同会社。 ・製品の Whitewater に Cascade。仮想アプライアンスもある。 * 参考その1 「Software Design」2009/10, P.58〜90, "第2特集:CDNからクラウドへ インタ−ネッ トを支える Akamai の全貌"。全世界に5千台以上の専用サ−バ Akamai Edge Serverがあ る。Private CDN という方法で利用する。日立建機が利用したのは、ネットワ−クパフォ −マンスを保証するとアカマイの営業が言ってきたためと雑誌に出ていた。Akamaiのサ− ビスを支える Edge Platform。インタ−ネットの中に作った高速インタ−ネットサ−ビス。 この号 "特集:大規模サイト運用のプロに学ぶ スケ−ルアウト スケ−ルアップ の鉄則"。 という記事もある、永久保存版だな。でも内容は難しい。よく読まないと理解できない。 目ぼしい雑誌記事なんかがあったら追記していく。「日経NETWORK」2014/01,P.84 〜89, "インタ−ネットのなかみ 2014、第9回アカマイCDNの仕組み、世界中のサ−バ −で負荷分散 通信経路の最適化にも活躍"。 アカマイの SureRoute サ−ビスの仕組みの 説明あり。アカマイの新しいサ−ビス「KONA」や「AQUA」と言うのが発表されてきている。 * 参考その2 `2e/12/s 「Software Design」2014/03, P.65〜89,"第2特集:ネットワ−クエンジニアのためのプロ キシサ−バの教科書"。リバ−スプロキシとして最近使われるのがVarnish Cache。Web サ−バとリバ−スプロキシで人気の NGINX、メ−ルのリバ−スプロキシとしてもつかえる。 リバ−スプロキシ型シングルサインオン、リバ−スプロキシがクライアントとのやりとり を代行する。NGINX Plus は商用版。 P.78 に NGINX をリバ−スプロキシで設置し負荷分 散をやる絵がある、NGINX サ−バを対外Webサ−バのIPアドレスにして、背後に幾つ かのWebサ−バを置く。専用の負荷分散装置でなくてもこれでやれるということ。 MXレコ−ド□セキュリティ P.88の絵はリバ−スプロキシでセキュリティ対策 ||↑ゲ−トウェイ とある。ここの文章はどう理解していいのか悩む。 / ̄ ̄ ̄ ̄ ̄ ̄| ̄| ̄ ̄ ̄ ̄ ̄ ̄\ NGINX をメ−ルサ−バのリバ−スプロキシにする \______|_|______/ ということか。どうも前の文章からの流れではそ : ↓ | う読み取れる。メ−ルサ−バからセキュアゲ−ト : □メ−ルサ−バ ウェイにはスマ−トホスト機能で送るという。メ 社内 : | −ルサ−バは社内に有るように描いたが、DMZ ---------------------------------- のメ−ルリレ−という設置になるだろうと思う。 (2) Squid と IWSS/IWSVA を調べる * 最初に調べたこと `2c/02 Squid は触ったことがない。使い物になるのか。これまでのキャッシュサ−バでは画面が おかしいというのは起きなかった。例えばいつまでもちょっと前の画面が出ていて、本来 出るはずの新しい画面にならないとか。Squid でそういうことは起こらないのか。いわゆ るコンテンツキャッシュの誤りという奴である。みかけ画面が表示されると、古いのでな いかなんて多分疑うということはないと思う。これは嫌らしいぞ。でも多分大丈夫でしょ う。とあるプロジェクトから生まれたのが市販製品の NetCache とフリ−ソフトの Squid だった。だから仕組みや制御ファイルの記述はよく似通っているのだ。 IWSS は内部で Squid を動かしている(これは違っていた、最初の頃思ったこと)。これを いじることはできるのか。いじってもいいのか。いじれないとして同じマシンに Squidを 動かして、多段プロキシにすることはできるのか。 それができれば Squid 用にマシンを 別に用意しなくてもいいので、いいかも知れない。テストしてマシンを置き換えればいい。 IWSS の仮想マシンの予備に作ったクロ−ンがある。このクロ−ンを使って Squid の設定 それに調整をやってみるとするか。IWSS(Trend Micro InterScan Web Security)。 Squid をインスト−ルして IWSS と連携させる。そう難しいことではないかも知れない。 * もう少し調べてみた `2c/05 ・IWSVA では ICAP v1.0 準拠のキャッシュサ−バをサポ−トする。Squid 3.0 で。 ・IWSVA では Squid 3.0 もインスト−ルされるが、初期設定では有効にならない。 ・CLI 経由で有効にできる。コマンドを1つ叩くだけ。調整とかはまるでない。 ・ロ−カル Squid プロキシを設定する。詳細は管理者ガイドを参照のこと。 IWSS で調べた。# ls /opt/trend/iwss には bin/ と data/。bin ディレクトリにファイ ルは数十あった。/bin/S99ISproxy というのがあって関係あるみたい、この説明は IScan HTTP Proxy daemon startup。でも、このスクリプト内に squid の文字はなかった。 仮想マシンに入れた IWSS にも Squid が入っているのでないかと思っていた。squidデ− モンは動いてなかった。どこに Squid のソフトがインスト−ルされているのか、 見当た らない。IWSVA でないと squid は使えないのか?。そんなことはなかった。 IWSS のライセンスと IWSVA のライセンスは別だった。IWSVA を動かしてみたのはお試し ライセンスでだった。IWSVA をずっと使うには別売りのライセンスを購入しないといけな い。こりゃ、あらためてテストするまでもないぞ。いやいや設定の参考にはなるか。 IWSVA の仮想マシンを動かして squid.conf の設定とか IWSS の設定とかみてみる。参考 になると思う。OpenBlockS 用の squid の設定も参考になると思う。これでパラメ−タが どうなっているか見てみよう。キャッシュのチュ−ニングに役立てたい。 IWSS、IWSVA は ICAP 1.0 連携ができる。PC <--> Squid <--> WWW の流れで、 Squid が IWSS/IWSVAに投げかけ、ウィルスチェックやWebレピュテ−ション等をやらせる仕組み。 この場合 Squid を ICAP クライアント、IWSS/IWSVA を ICAP サ−バという。 ※ICAP( Internet Content Adaptation Protocol Version 1.0 ) * トレンドマイクロのドキュメントからのヒント 「Trend Micro InterScan Web Security Virtual Appliance インスト−ルガイド」に書か れていること。内部では PostgreSQL に Squid を使っている。 52ペ−ジには、インス ト−ル中に、次のオ−プンソ−スアプリケ−ションがインスト−ルされますが、初期設定 では有効になりません。 Squid 3.0 -- オプションのコンテンツキャッシングを実現しま す。55ペ−ジには Squid は初期設定では無効、有効にするには IWSVA CLI 経由でやる。 やる気になればキャッシュサ−バの機能も実装できる訳だ。 しかしこれ以上の Squid 関 連の情報は見当たらない。トレンドマイクロのサポ−トペ−ジを見てもない!。 「Trend Micro InterScan Web Security Virtual Appliance 管理者ガイド」付録 E Squid の設定。Squid プロキシダウンストリ−ムモ−ドとSquid プロキシアップストリ−ムモ− ドがある。どちらを使えばいいのか。337 ペ−ジに、ダウンストリ−ムモ−ドはパフォ− マンスを改善すると書いているのでこれだろう。描かれている絵はブラウザからは Squid の 3128 ポ−トに接続、Squid は IWSS の 8080 ポ−トに接続しインタ−ネットのサイト へ。IWSVA の設定画面にはキャッシュの細かな調整をするメニュ−なんかはない。上位プ ロキシや ICAP サ−バの指定、プロキシ転送モ−ドになっているか見る位のことである。 * Webレピュテ−ションとキャッシュをやりたい << Internet >> << Localnet >> ---------WebRepu ---------- ずっと使ってきたプロキシサ−バをかま -------| IWSS |--------|ProxySVR|------ して、そのキャッシュ機能を用いる。多 --------- ---------- 段プロキシサ−バの構成である。 ---------WebRepu ---------Squid キャッシュサ−バ Squidを別マシンで設 -------| IWSS |--------| Squid |------- 置する。多段プロキシサ−バ構成。 --------- --------- ---------WebRepu ---------Squid IWSVA のお試しライセンスは切れている。 -------| IWSS |--------| IWSVA |------- でも Squid は使えるのでないか。 --------- --------- ---------WebRepu IWSS のマシンに Squid の設定を自前で -------| IWSS |---------------- やる。これに一度トライしてみようか。 ---------Squid ---------Squid IWSVA のライセンスを買って設置。キャ -------| IWSVA |----------------- ッシュとWebレピュ−テション機能を ---------WebRup 利用。Squid は入っている。 ---------Squid IWSVA のお試しライセンスは切れている。 -------| IWSVA |----------------- Webレピュ−テションやらずに Squid --------- だけ利用する。お勧めではない。 * 多段構成のプロキシキャッシュサ−バ 用済みになった ProxyAPL と IWSS で多段構成のプロキシというのを、ちゃちゃっとやっ てみるか。多段構成はやったことがない?。いや、らしいのはやったことがある。仮想マ シンで IWSS と IWSVA を作って、 どっちだったかのパタ−ンファイルか何かをプロキシ 経由で取って来るようにした。確かファイアウォ−ルで新しくオブジェクトを作るのが面 倒で、既存のオブジェクトがインタ−ネットにアクセスできるようにしてたので、それを 利用したという。その時も結構すんなりできた。あまり深いこと考えないのであれば多段 構成のプロキシキサ−バはすぐに動作を確認はできる。しかし実運用では、多段プロキシ が実際どういう振る舞いをするのか未知数だ。マシンが別というのが基本だが同じマシン 内で2つプロキシサ−バを動かして、多段構成にするというのもある。このやり方が実は、 次の章で要の技術となって、実際に設定し動かしてみたという話になる。 * 参考 「Software Design」 2009/09, "はてな流!システム管理のツボ 第14回高機能キャッシュ > サ−バ Squid を使い倒す(その1)"。この号は Squid の大特集。 しかしフォワ−ドプ ロキシよりもリバ−スプロキシの話がほとんどみたい。 「Software Design」 2009/10, P.176〜181, "はてな流!システム管理のツボ 第15回高機 > 能キャッシュサ−バ Squid を使い倒す(その2)"。チュ−ニングについて書かれている。 レスポンスヘッダを確認、Squid が X-Cache-Lookup,X-Cache をHTTPヘッダに付与する。 「Software Design」 2005/11,P.46〜53,"特集:ここがポイントDNS&キャッシュサ−バ > の立て方、使い方"。Squid がDNSとの関係が細かく述べられている。 ちょっとやや こしそう。Squid はデフォルトでログは名前解決されずに記録される。 「UNIX MAGZNINE」1993/03 号に Squid のインスト−ル という記事あり。物持ちがいいの > で、捨てずに置いてあります。2015年ほかってしまいました。 この先 Squid を使 ってプロキシキャッシュサ−バを作って運用することはないだろうと思って。 (3) IWSS で Squid を使ってみよう * squid のインスト−ル ---------------------------------------- vSphere Client で出した RHELの仮想マ | host2 シンのコンソ−ル。 |--------------------------------------- | |コンソ−ル\ |--------------------------------------- | ■ ‖ > @ 〇 □ □ □ ◆ << これクリックすると下のようにでてくる。 |---------------------------------- ------------------------------------- | [CD/DVDドライブ1]->|G:に接続 | | |ロ−カルディスクのISOイメ−ジに接続| |ホストデバイスに接続 | |デ−タストア上のISOイメ−ジに接続 | ------------------------------------- [デ−タストア上のISOイメ−ジに接続] を選ぶ。Datastore を幾つか作ってあるかも知れ ない、RHEL のOSイメ−ジを入れたのを選ぶこと。ここでは kasou_Datastore02 を選ぶ。 一度、選ぶと次は kasou_Datastore02 が自動で選ばれて画面がでてきた。 画面がでてき て中身がリストされる。"rhel-server-5.6-i386-dvd.iso 3 GB ..." 選んで [OK] をクリ ックすると、"RHEL_5.6 I386 DVD" という表題の画面が出てくる、これでマウントされた。 この画面はすぐに閉じておくこと。 この画面が出たまま # umount /mnt/tarou とやると、 おかしなことになる。キ−入力がきかなくなった。その時、仕方ないので仮想マシンのオ ブジェクトのメニュ−から <リセット> して、仮想マシンを再起動させた。 # mount -r /dev/dvd /mnt/tarou # cd /mnt/tarou/Server # ls *squid* squid-2.6.STABLE21-6.el5.i386.rpm # rpm -ivh squid-2.6* 一瞬で squid-2.6.STABLE21-6.el5.i386.rpm が入った。 # rpm -qa squid squid が入ったことを確認。/etc/rc2.d/K25squid や squid-2.6.STABLE21-6.el5 /etc/squid/squid.conf がもうインスト−ルされている。 # cd / # umount /mnt/tarou DVD をアンマウントしたということ。 コンソ−ルの [CD/DVDドライブ1]->[デ−タストアイメ−ジから切断します] もやる。 まだドライブが使われているというメッセ−ジが出てくる。構わず処理を続ける。更 にまた小さな画面が出てきて、英文で Disconnect するかと聞いてくる、y を押す。 * squid.conf の設定 # chkconfig --list squid ※Squid の制御スクリプトは /etc/rc2.d/K25squid。 squid 0:off 1:off 2:off 3:off 4:off 5:off 6:off /etc/squid/squid.conf 結構へたら長い制御ファイル。Apacheの制御ファイルと同じで 長いが、設定するパラメ−タの項目は実質そんなに多くない。 # cd /etc/squid;ls cachemgr.conf mib.txt msntauth.conf squid.conf.default errors mime.conf msntauth.conf.default icons mime.conf.default squid.conf squid.conf のめぼしいパラメ−タは。 squid.conf と squid.conf.default は ------------------------------------------- 内容一緒、diff で確認。サイズ154879。 |http_port 3128 |# cache_mem 8 MB |# maximum_object_size_in_memory 8 KB |# cahce_dir ufs /var/spool/squid 100 16 256 |# cahce_mgr root 管理者への通知メ−ル。 |# error_directory /usr/share/squid/errors/English コメント外してJapanese。 # cp squid.conf squid.conf.org << 元々の制御ファイルをバックアップ。 squid.conf -------------------------------------------- |#Recommended minimum configuration: ※目ぼしいところだけ記述。 |acl all src 0.0.0.0/0.0.0.0 |acl manager proto cache_object |acl localhost src 127.0.0.1/255.255.255.255 |acl localnet1 src 192.168.1.0/255.255.255.0 << 追記した。 |acl to_localhost dst 127.0.0.1/8 |acl SSL_ports port 443 |acl Safe_ports port 80 |acl Safe_ports port 21 << 以下 443,70,210,1025-65535,280,488,591,777 と | 続く。 |acl CONNECT method CONNECT | |http_access allow localnet1 << 追記した。 |http_access allow localhost |http_access deny all 先ずはプロキシサ−バとして、単独で機能させてみる。IWSSのポ−ト番号とは別なポ−ト 番号で動かしてみる。IWSS のポ−ト番号は今は 80 番。squid.conf デフォルトのままで 3128 番。# /etc/init.d/squid start やった、アボ−トして失敗した。squid.conf にホ スト名を記載しないといけないとのこと。visible_hostname host2。 /etc/hosts # hostname ---------------------------------------------- host2 |127.0.0.1 localhost.localdomain localhost ↑ |192.168.1.9 host2 host2.nix.co.jj << visible_hostname はこれと一致させる。 * 1つやってみた (A) IWSSの設定画面で、上位のプロキシサ−バを指定する項目があったので、とりあえずそれ を利用して、上位サ−バを Squid ということにしてやってみた。すぐにできた。 ---------------------------------------- PC△ | 待機Port80 | □WWW PCのブラウザではプロキ | | --------WebRepu ---------Cache | | シサ−バ [192.168.1.9]、 ------|---| IWSS |------------| Squid |------|-------- ポ−ト[80] を指定。 | -------- --------- | |上位Proxy 127.0.0.1 待機Port3128 | | Port3128 | 1つのマシン内で ---------------------------------------- 192.168.1.9 [HTTP]->[設定]->[プロキシ検索] ---------------------------------------- |プロキシ設定 |--------------------------------------- |HTTP待機ポ−ト番号:[80] | |◎プロキシ転送 | 〆上位プロキシを有効にする | プロキシサ−バ:[127.0.0.1 ] | ポ−ト番号: [3128 ] | | | |○リバ−スプロキシ | | |○ICAP << ICAP に◎すると、プロキシ転送 | □ "X-Virus-ID" ICAPヘッダを有効にする の◎はなくなる。HTTP 待機ポ− | □ "X-Infection-Found" ICAPヘッダを有効にする ト番号:[1344] になった。 ------------------------------------------------ [保存][キャンセル] ↑ 上のように記入して [保存] したら下の画面がでてきた。 ------------------------------------------------------------------------------- |フィ−ドバックオプションを含むWebレピュテ−ションデ−タベ−スにアクセスするに| |は、[接続設定] 画面( [アップデ−ト]->[構成設定] )でアップストリ−ムプロキシサ| |−バとポ−トの情報を指定する必要があります。この画面と同じアップストリ−ムプ | |ロキシサ−バとポ−トの情報を [接続設定] 画面にも使用しますか。 | ------------------------------------------------------------------------------- ↑ yes にしたら [アップデ−ト]->[設定] にも同じのが設定された。 注.これまで [アップデ−ト]->[設定] には何も設定されてない。 * もう1つやってみた (B) 上の逆のパタ−ン。これも数時間でできた。Squid の制御ファイルの中で親プロキシサ− バを指定するのは、どうな風なのか調べた。リバ−スプロキシとフォワ−ドプロキシの設 定が探すと出てくる。フォワ−ドプロキシサ−バの設定を参考にした。 ---------------------------------------- PC△ | 待機Port80 | □WWW | | ---------Cache --------WebRup | | ------|---| Squid |-----------| IWSS |-------|-------- | --------- -------- | |上位Proxy 127.0.0.1 待機Port8080 | | Port8080 | 1つのマシン内で ---------------------------------------- [HTTP]->[設定]->[プロキシ検索] --------------------------------------- |プロキシ設定 |-------------------------------------- |HTTP待機ポ−ト番号:[8080] << 下のメニュ−で {上位プロキシを有効にする}にはチェ ックせず。 /etc/squid/squid.conf --------------------------------------- |#http_access allow localhost |#http_access allow localnet1 |#http_access deny all |http_access allow all << どこからでも利用できるようにする。 | |http_port 80 << ブラウザからアクセスするポ−ト番号。 | |# TAG: cahce_peer ※icp ポ−トを用いて上位プロキシサ−バのキャッシュを | 利用しない場合は icp ポ−トに 7 を指定すること。 | | icp-port: Used for querying neighbor caches about objects. To have a non-ICP | neighbor specify '7' for the ICP port and make sure the neighbor | machine has the UDP echo port enabled in its /etc/inetd.conf file. | NOTE: Also requires icp_port option enabled to send/receive requests via | this method. | |cache_peer 127.0.0.1 parent 8080 7 default no-query no-digest << 追記。デフォ | ルトは none。 |# TAG: icp_port | The port number where Squid sends and receive ICP queries to and from | neighbor caches. Default is 3130. To disable use "0". | May be overriden with -u on the command line. | |icp_port 0 << 追記。デフォルトは icp_port 3130。 | |neverr_direct allow all << 追記。全てのクエストを上位プロキシに転送する。 デフォルトは none。 # /etc/init.d/squid restart squid を停止中: [ OK ] squid を起動中: [ OK ] * squid の参考サイトとオプション http://squid.robata.org/ここ詳しい。Squidの設定【Squid Web プロキシ&キャッシュ】。 http://squid.robata.org/squid2.0-conf.html、Squid.2.5 用 squid.conf での説明。 cache_peer [上位プロキシのIP] parent [上位プロキシのポ−ト番号] [icp ポ−ト番号] [icp ポ−ト番号] 使用を無効にするには 0 指定、とあるが本当は 7 ではないのか、 squid.conf ファイルの英文を読むと。icp ポ−ト番号のデフォルトは3130番。 次のこんな例がインタ−ネットを調べるとよく出てくる。 cache_peer 192.168.1.1 parent 8080 0 default no-query no-digest default 親キャッシュとICPを使用できない場合に使用すべき。 no-query ICPクエリを隣接に送らない。 no-digest ダイジェストをリクエストしない。ダイジェストって何?。 proxy-only おまけ、この squid でキャッシュしないということ。 オプションの説明を。htcp_port は隣接する squid サ−バとの間で、HTCP リクエストを 送受信するポ−ト番号はデフォルト 4827。使用を無効にするには 0 を指定する。htcpを 使うと ICP の代わりに HTCP で隣接する squid サ−バにリクエストを送る。 * Squid のチュ−ニング # chkconfig squid on # ps -ef | grep squid root 20033 6738 0 14:32 pts/1 00:00:00 grep squid root 29026 1 0 May14 ? 00:00:00 squid -D root 29026 29026 0 May14 ? 00:00:00 (squid) -D root 29030 29028 0 May14 ? 00:00:00 (unlinked) /var/spool/squid /squid.conf オ−ナ−とグル−プは squid, squid で。 --------------------------------------------- |# cache_dir ufs /var/spool/squid 100 16 256 rpm コマンドで squid をインスト−ルしたら、 キャッシュディレクトリは既に作成され ていた。上の "100 16 256" は多分、キャッシュで使用する容量(MB)、ディレクトリを分 割するサブディレクトリ数、サブディレクトリを分割する数。 Squid には squidclient というコマンドあり。 Squid の状態をこれで見ることができる。 dnsserver という独自のDNSも動いている、これで名前解決を少しでも速く処理する。 コマンドは /usr/sbin/squidclient。squid の実行モジュ−ルは /usr/sbin/squid。 (B)のパタ−ンで実際に稼働させてみる。IWSVA でも内部は (B) のパタ−ンになっている と思われる。IWSVA の管理者ガイドの 337 ペ−ジを見ると、ICAP 連携になっているよう には見えない。 IWSVA で Squid を使うのは、トレンドマイクロではサポ−ト外の扱いにしている。 いわ んや IWSS での Squid も。パフォ−マンスは IWSS と Squid で ICAP 連携にする方がい いのか、連携でない方がいいのか。 Windows 2000 の IE6、どうも切れが悪いような。 なかなかすっと表示を終えてくれない。 マウスが反応しなくなる。表示のインジケ−タの最後のあたりがひきずられるような感じ というか。Windows XP の IE8 ではどうか。 [ Squid のログのこと ] プロキシサ−バを利用パソコンのIPアドレスをログに出さないようにする。アクセス先 の HTTP ログに、利用パソコンのIPアドレスが記録される。多分 squid.conf の中に書 かれている #forwarded_for on をコメントを外す。 ほかっておくとどんどんログが溜まる。ロ−テ−ションさせないといけない。squid.conf 内の logfile_rotate をいじるのかな。 # crontab -e 0 0 * * * /usr/sbin/squid/bin/squid -k rotate /etc/squid/squid.conf 関係するところはこんなように設定されていた。 --------------------------------------------- |#access_log /var/log/squid/access.log squid コメントになっているが |#cache_log /var/log/squid/cache.log これらがデフォルト設定。 |#cache_store_log /var/log/squid/store.log # ls -l /var/log/squid -rw-r----- 1 squid squid 1088237 5月 18 15:48 access.log -rw-r----- 1 squid squid 40256 5月 13 04:02 access.log.1.gz -rw-r----- 1 squid squid 23406 5月 18 15:46 cache.log -rw-r----- 1 squid squid 1557 5月 13 04:02 cache.log.1.gz -rw-r--r-- 1 root root 2625 5月 18 15:36 squid.out -rw-r----- 1 squid squid 1401288 5月 18 15:48 store.log -rw-r----- 1 squid squid 73768 5月 13 04:02 store.log.1.gz [ キャッシュの解析 ] # squidclient mgr:info client: ERROR: Cannot connect to localhost:3128: Connection refused /etc/squid/squid.conf 関係するところはこんなように設定されていた。 ------------------------------------- |http_access allow manager localhost |http_access deny manager << この設定のためコメントにする。いや関係ないか。 | | |http_access allow all << すでに、どこからでも利用できるようにしている。 # squidclient -p 80 mgr:info << これでだ−っとでてきた。squid.conf の http_ac cess deny manager は有効のままでも表示された。 (4) UTM で帯域制御をかけてみる * UTM での動画などの帯域制御あれこれ 帯域をくっているトップテンのパケットの種類とパソコンなどのIPアドレスを調べてみ るか。そして個々人に個別で、何をやっているんですかと尋問するというは。動画は会社 ではほぼ見る必要はないぞ。Skype も勝手にやってもらっては困るし。 FortiGate では Skype のパケットの制御は十分ではない。310B の v4.0 MR2 Patch 7 で [UTM]->[アプリケ−ションコントロ−ル]->[アプリケ−ションリスト] には "Skype"1つ だけしかない。Skype のファイル転送だけ禁止にするということはできない。 Skype はその開発思想からできるだけ通信をしようとして、ポ−ト番号を変えたり、イン タ−ネットにある Skype の制御サイトを変えたり。動的に挙動を変えるらしい。 これが 把握を難しくしている。FortiAnalyzer なら Skypeの様子が少しは分かるのかも知れない。 Yahoo の画面だけでも幾つものセッションが張られることになる。1画面のなかにある画 像に動画、これらは1つ1つのセッションになる。Yahoo の中の動画は YouTubeとは違い、 これを制限するのは難しい。Yahoo の動画は Flash を使っている。 * 手元の UTM で帯域制御をやってみた 自分のところに UTM、FortiGate-80C を透過型でもNAT型でもいいから設置して、そこ で YouTube の帯域を制限してみた。 ファイアウォ−ルでは何もやってないということで。 YouTube の帯域制御とプライオリティの制御はちゃんと効いているのか。アプリケ−ショ ン名で "Youtube Download" だけでは制御できないのでないか。Youtube 何とかというの が幾つかあった。パソコンは Windows 2000、ブラウザはIE6、これでは YouTube がサ ポ−トを終了していると出てくる。軽量版の動画再生ペ−ジで、動画を表示再生した。確 かこの時は FortiGate-80C のOSのバ−ジョンは v4.0 MR2 Patch 3 だった。 [UTM]->[アプリケ−ションコントロ−ル]->[アプリケ−ションリスト] アプリケ−ション名 カテゴリ− ポピュラリティ− リスク --------------------------------------------------------------- Youtube Media low low Youtube Comment_Posting Media low low Youtube Download Media high medium Youtube Safety.Mode Media medium low Youtube Search.Video Media high medium Youtube Uploading Media high medium 帯域制御は [ファイアウォ−ル]->[トラフィックシェ−パ−]->[シェア−ド] で設定。 --------------------------------------------------------------- | シェア−ドトラフィックシェ−パ−を編集 | |-------------------------------------------------------------| | 名前 [ KATOU ] | | シェ−ピングの利用 ◎ポリシ−ごと | | ○このシェ−パ−を使うすべてのポリシ− | | 〆最大バンド幅 [20 ] (1-2097000 KBps) | | □保証バンド幅 [0 ] (1-2097000 KBps) | | トラフィックプ [低 ▼] | | ライオリティ | | [ OK ][ キャンセル ] | --------------------------------------------------------------- 最大バンド幅を 2 にしたら、まるで動画の画面が出て来なかった。10 にしたらそこそこ 出てきた。時たまクルクル回るが。5 にしてもまだ何とかでてきた。本当に制御が効いて いるのか。設定支持の単位をこの時までよく分かってなかった。5 というのは 5 KBps で、 5*1000*8 =40000 bps ということ。100 Kbps = 100*1024 = 102400 bps。 5 KBps という のは約 39 Kbps である。だから 10 ならまだ動画表示はでてきたということである。 動画を表示している最中に {ブロック} に変更しても、そのまま再生され続けた。多分い ったん再生のプロセスに入ってしまったのは、そのままなのだろう。ということは他のパ ケットを優先する設定にしていても、それは関係なしということだろう。長い動画を誰か がみていれば、それが終わるまでは他のは割り込んで入って来られない。これは推測でし かない。実際にどういう動き、処理がされるのか。fortinet 社の人から聞いてみたい。 YouTube を完全に見えないようにはしない。 {ブロック} にしているとブラウザがいつま でたっても変化ないのである。YouTube をクリックして、何も画面がでてこない。ユ−ザ は、何かおかしくなったのでないかと思うに違いない。何でといってくる種を作るような ものである。そこはかとなく遅くするに留めるのが実際の運用にはいいだろう。次のとこ ろで制限をかけて実際に数ヶ月運用してみた。全然、誰も気付いてない。これでよし。 * ファイアウォ−ルでの帯域制御の設定 プロキシサ−バ経由のインタ−ネットのホ−ムペ−ジへのアクセスで、YouTube の利用に 制限をかける。YouTube 用には帯域は最大 2 Mbps にしましょう、優先度は低にしましょ う。つまりインタ−ネットが混んできたら、YouTube の優先度は低いので、他のを優先に しますよ。混んでない時でも YouTube 用には 2 Mbps しか最大確保してないです。 そん な感じでともかくやってみることにした。1人が YouTube の動画をみるのに、 感覚的に は 200 Kbps ぐらいの帯域を食っているような気がしている。 [ファイアウォ−ル]->[ポリシ−]->[ポリシ−] ------------------------------------------------------------------------------ |LAN -> WAN | |----------------------------------------------------------------------------| | □ ID 送信元 宛先 スケジュ−ル サ−ビス アクション ステ−タス NAT | |----------------------------------------------------------------------------| | □ 20 Proxy all always HTTP HTTP8080 ACCEPT 〆 〆 | ----------------------------------------------------------------- 上のル−ル20番 | ポリシ−編集 | を編集するので |---------------------------------------------------------------| 出した画面。 | 送信元インタ−フェ−ス/ゾ−ン [port3(LAN) ▼] | | | | | アクション [ACCEPT ▼] | | □許可トラフィックをログ | | NAT | | ◎NAT有効 | | □アイデンティティポリシ−を有効にする | | 〆UTM | | □プロトコルオプション [ ▼] | | | | | | 〆アプリケ−ションコントロ−ルを有効 [YouTube_2Mbps ▼] | | □VoIPを有効 [ ▼] | | □トラフィックシェ−ピング [ ▼] | | □リバ−ストラフィックシェ−ピング [ ▼] | | □Per-IPトラフィックシェ−ピング [ ▼] | | □エンドポイントNACを有効 [ ▼] | | [ OK ][ キャンセル ] | ----------------------------------------------------------------- "トラフィックシェ−ピング" の□に〆入れると、 アプリケ−ションに関係なく帯域制御 をするということになるのだと思う。 〆を入れると [選択してください ▼] と出て [フ ァイアウォ−ル]->[トラフィックシェ−パ−]->[シェア−ド] にあるエントリが出てきた。 2Mbps_low-priority の他、guarantee-100kbps/high-priority/low-priority/medium-pri ority/shared-1M-pipe が出てくる。2Mbps_low-priority 以外はSI業者のエンジニアが 作成したのか、最初からあったものか不明。 [UTM]->[アプリケ−ションコントロ−ル]->[アプリケ−ションコントロ−ル] -------------------------------------------------------------------------------- | 名前 [YouTube_2Mbps ] | | ロギングを有効 □ | | モニタリングを有効 □ [ OK ] | |------------------------------------------------------------------------------| | □ ID カテゴリ アプリケ−ション アクション ロギング | |------------------------------------------------------------------------------| | □ 1 media YouTube.Download パス × | | □ 2 media YouTube.Video.Embedded パス × | | □ Implicit 1 その他すべての既知のアプリケ−ション Pass × | | □ Implicit 2 その他すべて不明なアプリケ−ション Pass × | -------------------------------------------------------------------------------- 上の "1 media YouTube.Download" の編集画面。YouTube.Video.Embedded も中身一緒。 --------------------------------------------------------------- | アプリケ−ションエントリ編集 | |-------------------------------------------------------------| | カテゴリ [media ▼] | | アプリケ−ション [YouTube.Download ▼] | | アクション [パス ▼] | << パスとブロック | 〆トラフィックシェ−ピング [2Mbps_low_priority ▼] | がある。 | 〆反対方向トラフィックシェ−ピング[2Mbps_low_priority ▼] | | | | オプション | | □Session TTL [0 ] | | □ロギングを有効化 | | □パケットログを有効 | | [ OK ][ キャンセル ] | --------------------------------------------------------------- FortiGate-310B v4.0 MR2 Patch 7 では[UTM]->[アプリケ−ションコントロ−ル]->[アプ リケ−ションリスト] には "YouTube.Download" と "YouTube.Video.Embedded" の2つし か YouTube 用のは無かった。前に FortiGate-80C で見た時はもっとあったのだが。動画 には "にこにこ動画" に "Ustream" というのもあるぞ。"にこにこ動画" はソフトをパソ コンに入れないけないのかな、見たことない。"Ustream" は自宅の Windows XP ノ−トで 普通に見れた、生中継ができるし溜めてあるのを見ることもできる。 [ファイアウォ−ル]->[トラフィックシェ−パ−]->[シェア−ド] --------------------------------------------------------------- | シェア−ドトラフィックシェ−パ−を編集 | 幾つかエントリが |-------------------------------------------------------------| あった。業者の技 | 名前 [ 2Mbps_low-priority ] | 術者が作ったのか。 | シェ−ピングの利用 ○ポリシ−ごと | | ◎このシェ−パ−を使うすべてのポリシ− | ひょっとして最初 | 〆最大バンド幅 [248 ] (1-2097000 KBps) | ここには何も定義 | □保証バンド幅 [0 ] (1-2097000 KBps) | されていなかった | トラフィックプ [低 ▼] | か。80C の画面見 | ライオリティ | たら、エントリは | [ OK ][ キャンセル ] | 何もなかった。 --------------------------------------------------------------- ※1Mbps は128KBps。KBps は K Bytes per second の略と解すべき。 128KBps = 128*1000Byte = 128*1000*8 = 1024000 bps 1Mbps = 1*1000Kbps = 1*1000*1024 = 1024000 bps (5) IWSS は見たらプロキシサ−バ `2g/03/s * IWSS は機嫌よく動いているのか パタ−ンファイルなどが最新になっているかは、分かる画面はない。確かトレンドマイク ロの人に尋ねたことがあって、ディレクトリを直接見てファイルの日付けを見ると言って いた。いや [概要]->[検索] に出ているみたい、でもここクリックするとログイン画面に 戻ってしまう。IE でも Mozilla でも、Windows 7 のパソコンだが、不具合か。 InterScan のプログラムがちゃんと動いているかチェックするのに、先ずディスク容量が 一杯になっていないかということ。気になって `2g/03/s に # df -k で見たら / は有効 容量は 34484KB だった。 内部で使っている PostgreSQL のデ−タベ−スが肥大化すると いうのがある。確かクロ−ンでパ−ジするのがインスト−ルで入っていたはずで問題ない。 パ−ティションの / で何がディスクを食っているのか。調べた結果 IWSSのパタ−ンファ イルだった。/opt/trend/iwss/data に438個、/opt/trend/iwss/data/actupdate に350個 空き容量は 34484KB で 34MB、パタ−ンファイルは1個 40MB 近くあるので、取って来れ ない状態になっていたということ。急遽古いファイルを幾つか消し 239MB 空きになった。 [概要]->[概要レポ−ト] の [過去1週間 ▽] のグラフと件数が表示されている、 出てい るのは "不正アクセスのWebレピュテ−ション(URL)"。6日前と5日前がそれぞれ約30、 4日前と3日前が土日で 0、2日前が62、昨日が約52。他に [過去4週間 ▽] のグラフも 出る。3週間前、2週間前、先週でそれぞれ約350。5日前にディスクを開けた。 [レポ−ト]->[予約レポ−ト] で週次レポ−トが 2015.10.24 が一番古い。2015.12.12 ま では "最も違反の多いユ−ザ" の棒グラフの青をみると1000から4000位。2015.12.19以降 2016.03.05 までは 100 から 900、平均 300 位。[レポ−ト]->[カスタマイズ] で日次レ ポ−ト、週次レポ−ト、月次レポ−ト、全部有効で保存する数は上から 60,20,4。 [アップデ−ト]->[スケジュ−ル] で "検索エンジン"は毎週木曜日午前2時に取る設定に。 "ウィルス/スパイウェア" などバタ−ンファイルは毎日午前2時に取る設定にしてあった。 /opt/trend/iwss/data 内にバタ−ンファイルが入る。2015/12/20に lpt$vpn.219 を取り それ以降は取って来てなかった。# ls -l --time-style=long-iso 年号も出して分かった。 # export LANG=C 下記で一番上の Filesystem うんぬんの所が化けないようになる。 # df -k Filesystem 1K-blocks Used Available Use% Mounted on /dev/sda2 40631988 38295088 239616 100% / << 元容量は 40GB。残 /dev/sda6 10029572 390744 9121136 5% /home っているのは239MB /dev/sda5 10153988 284212 9345660 3% /var と言うこと。 /dev/sda1 124427 14560 103443 13% /boot tmpfs 2008260 28 2008232 1% /dev/shm -------------------------------------------------------------------------------- 2日間で調べてその結果、IWSSはただのプロキシサ−バに成り下がっていたということは なかった。パタ−ンファイルが入るパ−ティションのディスク容量が一杯になり、3ヶ月 間程新しいのを取って来てなかったが、それまでのパタ−ンファイルでチェックはしてい たことが分かった。パタ−ンファイルの 2014 年のを100個ぐらい消してディスクを開 けたら新しいのを取ってきた。特に IWSS を再起動するとかはしなくてもよかった。 -------------------------------------------------------------------------------- * 何がディスクを食っているのか root のディレクトリを全部チェックした。 中身が空だったのは misc, net, srv, media, lost+found。sys, tmp, mnt, root もそんなにたくさんのファイルはなかった。etc の中 の iscan は /opt/trend/iwss/data へのリンク。/opt 内は IWSS だけあった。 /var/spool/cron/iscan バキュ−ム処理のところのみ抜粋 PostgreSQLのバキュ− ------------------------------------------------------- ムはどうか。肥大化を |58 3 * * * /usr/iwss/bin/db_vacuum.sh > /dev/null 2>&1 押える処理はやってる。 # cd data #du -sk とやると #du -k の最後に出てきた34116116 # du -k が出た。単位は KBytes、34116116KB =34116MB =34GB。 158268 ./postgres/pgdata #du -k をやって他にもたくさんリストされた。 目ぼ 16715228 ./actupdate しい所だけにした。 PostgreSQL のデ−タベ−スは肥 34116116 . 大化はしてない。/actupdate 内も容量を食っている。 # ls -l lpt* | wc -l lpt$vpn.961 とかの数がこれで出る。急遽消したのは 438 # rm lpt?vpn.103 とかいうように、$ は ? とした。 # cd /opt/trend/iwss/data # ls -l total 17210980 前後にたくさんのファイルあり。 これらはディスクを -rw-r--r-- 1 iscan iscan 42320557 Mar 5 02:00 lpt$vpn.379 開けてから、最新の -rw-r--r-- 1 iscan iscan 42343597 Mar 6 02:00 lpt$vpn.381 を取ってきた。年号 -rw-r--r-- 1 iscan iscan 42368173 Mar 7 02:00 lpt$vpn.383 は暗黙で今年である。 # cd /opt/trend/iwss/data/actupdate # ls -l total 16673784 前後にたくさんのファイルあり。 前のファイルで年号 -rw-r--r-- 1 iscan iscan 37171573 Aug 26 2014 lpt$vpn.107 が出ずに時間が出て -rw-r--r-- 1 iscan iscan 40818861 Oct 25 20:46 lpt$vpn.109 いるのがちらほらあ -rw-r--r-- 1 iscan iscan 37182837 Aug 28 2014 lpt$vpn.111 る。Solaris でもあ -rw-r--r-- 1 iscan iscan 40831661 Oct 28 02:00 lpt$vpn.113 った昔からのバグか。 # ls -tl --time-style=long-iso 近い日付けから表示する。これは年号も表示してくる。 -------------------------------------------------------------------------------- /opt/trend/iwss/data と /opt/trend/iwss/data/actupdate 内の lpt$vpn.379 というパ タ−ンファイルを消した。[概要]->[システムダッシュボ−ド] の{ハ−ドディスクドライ ブ} 容量使用率(%) 93%位だったのが73%位になった。翌日から上の lpt$vpn.379と いうように取ってきた。# ls -l で 2014 と出ているのを手作業でだいたい消してみた。 -------------------------------------------------------------------------------- * エラ−メ−ルその1と対処 この時期、プロキシサ−バは NetCache だった。IWSVA と置き換えるつもりだったが実際 は IWSS にした。プロキシサ−バのIPアドレスは 192.168.1.5 である。 メ−ルストア は何を使っていたのか。マシン red0 を次期 Mail-Store として設定中と自身書いている。 | IWSVA IWSS IMSS これらは InterScanをHP仮想マシンに入れ FIRE□ □red2 □red1 □red0 てみた当時の状況である。IWSSと IMSS のラ |.2 |.11 |.10 |.9 イセンスはあったが、IWSVA は正式ライセン ----------------------------------- スはなくテスト的に設定したのだった。 192.168.1.0 /etc/mail/red1.mc マシンred0 にて red1.mc ファイル ---------------------------------------------- を記述。#m4 red1.mc > red1.cf を |include(`/usr/share/sendmail-cf/m4/cf.m4')dnl 作成。red1.cf を red1 マシンにも |VERSIONID(`setup for linux')dnl ってきた。中の192.168.1.9 はその |OSTYPE(`linux')dnl ままにしたので、 red1 を本番稼働 |FEATURE(`nullclient',`192.168.1.9') させてから、そこにメ−ルを送った。 # sendmail -bt ADDRESS TEST MODE (ruleset 3 NOT automatically invoked) Enter
> 3,0 ikken@nix.co.jj canonify input: ikken @ nix . co . jj Canonify2 input: ikken < @ nix . co . jj > Canonify2 returns: ikken < @ nix . co . jj > canonify returns: ikken < @ nix . co . jj > parse input: ikken < @ nix . co . jj > Parse0 input: ikken < @ nix . co . jj > Parse0 returns: ikken < @ nix . co . jj > Parse1 input: ikken < @ nix . co . jj > MailerToTriple input: < 192 . 168 . 1 . 9 > ikken < @ nix . co . jj > MailerToTriple returns: $# relay $@ 192 . 168 . 1 . 9 $: ikken < @ nix . co . jj > Parse1 returns: $# relay $@ 192 . 168 . 1 . 9 $: ikken < @ nix . co . jj > parse returns: $# relay $@ 192 . 168 . 1 . 9 $: ikken < @ nix . co . jj > # cd /etc/init.d # ls -l sendmail -rwxr-xr-x 1 root root 3349 Jan 22 2010 sendmail # ls -l /etc/rc2.d/S80sendmail lrwxrwxrwx 1 root root 18 Mar 23 2011 /etc/rc2.d/S80sendmail -> ../init.d/sendmail # ps -ef | grep sendmail root 3878 1 0 2014 ? 00:00:02 sendmail: accepting connections smmsp 3886 上に同じ sendmail: Queue runner@01:00:00 for /var/spool/clientmqueue /var/log/maillog,maillog1,maillog2,maillog3,maillog4 それぞれ 10 MB ぐらいあり。 次のようなログがずっとあり、Mar 6 04:25:10 red1 sendmail[7127]: u24NP4Sq028171: to=postmaster, delay=20:00:00, xdelay=00:00:00, mailer=relay, pri=1834401, relay=192.168.1.9, dsn=4.0.0, stat=Deferred: 192.168.1.9: No route to host # cd /var/spool/mqueue # ls -l | wc -l をしたら 609 個のファイルがあった。/var/spool/clientmqueue は0。 # ls -lu とやったら "Mar 8 08:36" 全部同じ日付けと時刻だった。 -------------------------------------------------------------------------------- メ−ルキュ−の日時を見て、約300通のメ−ルを毎回送ろうとしてエラ−になっていた ことが分かった。その内容はディスクがフルになっているのを管理者に知らせるものだっ た。とりあえず sendmail デ−モンを止めることにした。もう起動しないように名前も変 えるか。# /etc/rc2.d/S80sendmail stop これで sm-client と sendmail が止まる。 -------------------------------------------------------------------------------- * エラ−メ−ルその2と対処 メ−ルストアの予備機は FortiMail-200D、FortiMail2 とも呼んでいる。IPアドレスは 192.168.1.8 とここではしておく。FortiMail2 のログをみたら ikken 宛のメ−ルが跳ね られていた。ユ−ザ ikken はこれまでこの装置に作ってなかった。 FortiMail のテスト や本番機に予備機の設定を始めてこんなメ−ルがずっと出ているということが分かった。 [ログ]->[ヒストリ] << 毎日、同じ時間に7通きていた。 メ−ルユ−ザの 日付 2016-03-08 アカウントが装置内に無いので拒否されて、 それ 時間 01:28:40 で1通来るはずが7通も来ていた。 分類 Recipient Verification 処理 Reject From root@nix.co.jj To ikken@nix.co.jj クライアント [192.168.1.5] << プロキシサ−バのHP仮想マシンの IWSS。 宛先IP 192.168.1.8 << FortiMail-200D、メ−ルストアの予備機。 処理 FAIL レベル information ※IWSS からいろいろメ−ルを管理者に送る設定にし タイプ statstics ていた。これまであまり気に留めてなかったけど。 -------------------------------------------------------------------------------- FortiMail2 にユ−ザ ikken のアカウントを作った。翌日 FortiMail2 でWebメ−ルを 見たら1通、日次レポ−トが作成されました、と言う知らせのメ−ルがきていた。レポ− トの添付ファイルとかは無かった。パタ−ンファイル、検索エンジン、URL フィルタエン ジンのアップデ−トで成功でも失敗でもメ−ルを出す設定になっていたが、来てなかった。 -------------------------------------------------------------------------------- * PostgreSQL はちゃんと動いているか # ps -ewf | grep post 表示を途切れなく全部出したい場合は -w を付ける。 iscan 4150 1 0 2014 ? 00:01:44 /usr/iwss/PostgreSQL/bin/postmaster -i iscan 4156 4150 0 2014 ? 00:00:28 postgres: stats buffer process iscan 4157 4156 0 2014 ? 00:00:17 postgres: stats collector process iscan 6347 4150 0 2014 ? 00:25:14 postgres: sa iwss [local] idle # cat /var/log/messages xxx は "00000041000000F9" と Mar 6 04:02:02 red1 syslogd 1.4.1: restart. いうような名前で連番みたい。 Mar 6 04:34:12 red1 postgres[7488]: [1-1] LOG: recycled transaction log file xxx Mar 6 06:34:38 red1 postgres[11934]: [1-1] LOG: recycled transaction log file xxx Mar 6 10:40:33 red1 postgres[22043]: [1-1] LOG: recycled transaction log file xxx Mar 6 12:41:03 red1 postgres[26532]: [1-1] LOG: recycled transaction log file xxx | Mar 7 09:41:56 red1 postgres[12001]: [1-1] LOG: unexpected EOF on client connection Mar 7 10:35:21 red1 postgres[14383]: [1-1] LOG: unexpected EOF on client connection Mar 7 12:34:22 red1 postgres[20266]: [1-1] LOG: recycled transaction log file xxx Mar 7 14:40:07 red1 postgres[25044]: [1-1] LOG: recycled transaction log file xxx -------------------------------------------------------------------------------- [管理 IWSS設定]->[デ−タベ−ス] 画面の {デ−タベ−ス接続設定} で [デ−タベ−ス接 続のテスト] をクリック、成功しましたと出た。ps コマンドで "sa iwss [local] idle" と言うのが出て PostgreSQL は遊んでいて動いてないのかと思ったが、大丈夫そうである。 以前に書いたのをみたら idle というのがあった。recycled と言うログは出ていたか?。 -------------------------------------------------------------------------------- * チュ−ニングをたまには `2h/02/m インタ−ネットのWeb表示が遅いということでプロキシサ−バ IWSS の状態をチェック した。ディスク容量は96%になっていたがパタ−ンファイルは取って来ていた。プロキ シを介さずにやっても遅いのは変わらずプロキシサ−バは問題なかった。IWSSは機嫌よく 動いていた。そろそろディスクも一杯になるかもと心配はしていたところだった。とりあ えずパタ−ンファイルの2016年のは大方消した、ディスク容量は30%未満になった。 IWSS のWeb画面で様子を見た。平日の10時半頃、同時接続数は100から160位、CPU使 用率は数%で時折り30とか40%とか−クが。物理メモリ使用率は30%でずっと平行。帯域幅 は結構変動があってHTTP受信がギザギザでピ−クが800KB/秒とか、がくっと下がってHTTP 送信/受信も1KB/秒で底を這っていたり。[概要]->[概要レポ−ト] で {不正Webアクセス} の {Webレピュテ−ション} には毎日10前後は検知している様子が出ていた。 ------------------------------------------------------------------------------------ [ 付録 ] いろいろ ● IWSS に溜まっていたメ−ルの内容 `2g/03 # cd /var/spool/mqueue 5日間再送を繰り返した。Return-Path が26個あった。 # cat dfu24NP4TG028171 This is a MIME-encapsulated message --u24NP4TG028171.1457133911/red1.nix.co.jj The original message was received at Mon, 29 Feb 2016 08:25:10 +0900 from localhost with id u1SNP3fI025376 ----- The following addresses had permanent fatal errors ----- postmaster (expanded from: postmaster) ----- Transcript of session follows ----- postmaster... Deferred: 192.168.1.9: No route to host Message could not be delivered for 5 days Message will be deleted from queue --u24NP4TG028171.1457133911/red1.nix.co.jj Content-Type: message/delivery-status Reporting-MTA: dns; red1.nix.co.jj Arrival-Date: Mon, 29 Feb 2016 08:25:10 +0900 Final-Recipient: RFC822; postmaster@red1.nix.co.jj X-Actual-Recipient: RFC822; postmaster@192.168.1.9 Action: failed Status: 4.4.7 Remote-MTA: DNS; 192.168.1.9 Last-Attempt-Date: Sat, 5 Mar 2016 08:25:11 +0900 --u24NP4TG028171.1457133911/red1.nix.co.jj Content-Type: message/rfc822 Return-Path: Received: from localhost (localhost) by red1.nix.co.jj (8.13.8/8.13.8) id u1SNP3fI025376; Mon, 29 Feb 2016 08:25:10 +0900 Date: Mon, 29 Feb 2016 08:25:10 +0900 | Return-Path: Received: from localhost (localhost) by red1.nix.co.jj (8.13.8/8.13.8) id u1NNP3Z2031510; Wed, 24 Feb 2016 08:25:10 +0900 Date: Wed, 24 Feb 2016 08:25:10 +0900 | Return-Path: Received: from localhost (localhost) by red1.nix.co.jj (8.13.8/8.13.8) id u1INP3GH006269; Fri, 19 Feb 2016 08:25:09 +0900 Date: Fri, 19 Feb 2016 08:25:09 +0900 | | Return-Path: Received: from localhost (localhost) by red1.nix.co.jj (8.13.8/8.13.8) id t9VNOqHG030116; Sun, 1 Nov 2015 08:24:58 +0900 Date: Sun, 1 Nov 2015 08:24:58 +0900 | --t9VNOqHG030116.1446333898/red1.nix.co.jj ********************************************** ** THIS IS A WARNING MESSAGE ONLY ** ** YOU DO NOT NEED TO RESEND YOUR MESSAGE ** ********************************************** The original message was received at Sun, 1 Nov 2015 04:02:01 +0900 from localhost.localdomain [127.0.0.1] ----- Transcript of session follows ----- ... Deferred: 192.168.1.9: No route to host Warning: message still undelivered after 4 hours Will keep trying until message is 5 days old | Return-Path: Received: from red1.nix.co.jj (localhost.localdomain [127.0.0.1]) by red1.nix.co.jj (8.13.8/8.13.8) with ESMTP id t9VJ21HF024541 for ; Sun, 1 Nov 2015 04:02:01 +0900 Received: (from root@localhost) by red1.nix.co.jj (8.13.8/8.13.8/Submit) id t9VJ21bn024539; Sun, 1 Nov 2015 04:02:01 +0900 Date: Sun, 1 Nov 2015 04:02:01 +0900 Message-Id: <201510311902.t9VJ21bn024539@red1.nix.co.jj> To: root@red1.nix.co.jj From: logwatch@red1.nix.co.jj Subject: Logwatch for red1 (Linux) MIME-Version: 1.0 Content-Transfer-Encoding: 7bit Content-Type: text/plain; charset="iso-8859-1" ################### Logwatch 7.3 (03/24/06) #################### Processing Initiated: Sun Nov 1 04:02:01 2015 Date Range Processed: yesterday ( 2015-Oct-31 ) Period is day. Detail Level of Output: 0 Type of Output: unformatted Logfiles for Host: red1 ################################################################## --------------------- Disk Space Begin ------------------------ Filesystem Size Used Avail Use% Mounted on /dev/sda2 39G 37G 87M 100% / /dev/sda6 9.6G 382M 8.7G 5% /home /dev/sda5 9.7G 344M 8.9G 4% /var /dev/sda1 122M 15M 102M 13% /boot ---------------------- Disk Space End ------------------------- ###################### Logwatch End ######################### --t9VNOqHG030116.1446333898/red1.nix.co.jj-- --tA5NOqG3006847.1446765899/red1.nix.co.jj-- このようなのが続く。 ● 仮想マシンの IWSS の調整後の様子 `2g/03 * IWSS プロセスの状態 # ps -ewf | grep iwss iscan 1778 6800 0 Mar02 ? 00:39:46 /usr/iwss/iwssd -M iscan 3407 6800 0 Mar02 ? 00:13:12 /usr/iwss/iwssd -M iscan 3953 6800 0 Mar02 ? 00:40:57 /usr/iwss/iwssd -M iscan 4097 1 0 2014 ? 00:00:02 /usr/iwss/isdelvd iscan 4150 1 0 2014 ? 00:01:44 /usr/iwss/PostgreSQL/bin/postmaster -i iscan 5322 1 0 Mar06 ? 00:25:20 /usr/iwss/svcmonitor iscan 6330 1 0 2014 ? 00:02:06 /usr/iwss/logtodbd iscan 6344 1 0 2014 ? 03:35:17 /usr/iwss/ismetricmgmtd iscan 6347 4150 0 2014 ? 00:25:19 postgres: sa iwss [local] idle iscan 6800 1 0 Jan21 ? 00:00:48 /usr/iwss/iwssd -M iscan 9731 1 0 Mar09 ? 00:00:13 /usr/iwss/AdminUI/jre/bin/java .. 続く iscan 18692 6800 0 Mar04 ? 00:27:20 /usr/iwss/iwssd -M iscan 18694 6800 0 Mar04 ? 00:26:47 /usr/iwss/iwssd -M # ps -ewf | grep post iscan 4150 1 0 2014 ? 00:01:44 /usr/iwss/PostgreSQL/bin/postmaster -i iscan 4156 4150 0 2014 ? 00:00:28 postgres: stats buffer process iscan 4157 4156 0 2014 ? 00:00:17 postgres: stats collector process iscan 6347 4150 0 2014 ? 00:25:19 postgres: sa iwss [local] idle * ディスク容量の様子 とりあえず IWSS のパタ−ンファイルの 2014 年のを100ぐらい消した。ル−トのパ− ティションを空けた。パタ−ンファイルは /opt/trend/iwss/data と data/actupdate に 同じものがある。ファイル名とサイズが一致している。これらの古いのを適当に消してお くこと。できればクロ−ンで消すようにした方がいい。でも IWSS の画面メニュ−をみる と、パタ−ンファイルは3つ残す設定になっているみたいなのだが。 # cd /opt/trend/iwss/data # ls -l --time-style=long-iso | -rw-r--r-- 1 iscan iscan 37159285 2014-08-23 02:00 lpt$vpn.101 -rw-r--r-- 1 iscan iscan 40831661 2015-10-28 02:00 lpt$vpn.113 | -rw-r--r-- 1 iscan iscan 37143925 2014-08-21 02:00 lpt$vpn.995 -rw-r--r-- 1 iscan iscan 37151093 2014-08-22 02:00 lpt$vpn.997 | # df -k Filesystem 1K-blocks Used Available Use% Mounted on /dev/sda2 40631988 30142216 8392488 79% / /dev/sda6 10029572 390744 9121136 5% /home /dev/sda5 10153988 281992 9347880 3% /var /dev/sda1 124427 14560 103443 13% /boot tmpfs 2008260 28 2008232 1% /dev/shm * メ−ルは出ないようにする とりあえず sendmail デ−モンを止めた。仮想マシンが再起動しても sendmail は動かな いようにしておく。これは IWSS から出るメ−ルには関係しない。 # ls -l /etc/init.d/sendmail -rwxr-xr-x 1 root root 3349 Jan 22 2010 /etc/init.d/sendmail # cd /etc/rc2.d # ls -l S80sendmail lrwxrwxrwx 1 root root 18 Mar 23 2011 S80sendmail -> ../init.d/sendmail # mv S80sendmail K80sendmail * 溜まっているメ−ルを消しておく # cd /var/spool/mqueue # ls -l | wc -l 611 # ls -l total 9236 -rw------- 1 root smmsp 839 Jul 26 2011 Qfp6Q53EFO028077 -rw------- 1 root smmsp 839 Jul 26 2011 Qfp6Q5PZqN028935 -rw------- 1 root smmsp 839 Jul 26 2011 Qfp6Q5k9ax029743 -rw------- 1 root smmsp 1566 Jul 26 2011 dfp6Q53EFO028077 -rw------- 1 root smmsp 1565 Jul 26 2011 dfp6Q5PZqN028935 -rw------- 1 root smmsp 1564 Jul 26 2011 dfp6Q5k9ax029743 -rw------- 1 root smmsp 898 Mar 4 04:02 dfu23J238K024570 -rw------- 1 root smmsp 4291 Mar 4 04:25 dfu23JP48L025549 -rw------- 1 root smmsp 5871 Mar 4 04:25 dfu23JP48M025549 -rw------- 1 root smmsp 7451 Mar 4 04:25 dfu23JP48N025549 -rw------- 1 root smmsp 9026 Mar 4 04:25 dfu23JP48O025549 -rw------- 1 root smmsp 10601 Mar 4 04:25 dfu23JP48P025549 -rw------- 1 root smmsp 12181 Mar 4 04:25 dfu23JP48Q025549 | -rw------- 1 root smmsp 898 Mar 8 08:25 qfu27NP50k003071 -rw------- 1 root smmsp 898 Mar 8 08:25 qfu27NP50l003071 * IWSS からのお知らせメ−ルの様子 とりあえずこれまでも FortiMail2 に来るようにしてたので、メ−ルを受けるユ−ザのア カウント ikken@nix.co.jj を作って取るようにした。 下記の様なレポ−トを作成しまし たというメ−ルが来るが http://red1:1812 で red1 の名前解決ができないので、このメ −ルをクリックしてもエラ−になる。さて、どうしたものか。いっそ来なくするか。 -------------------------------------------------------------------- |Subject:IWSS Daily Report From:root@nix.co.jj To:ikken@nix.co.jj |------------------------------------------------------------------- |日次レポ−トが作成されました |http://red1:1812/servlet/com.tredn.iwss.gui.servlets.showreport? |daily/report.2016.03.09 [レポ−ト]->[予約レポ−ト] 画面の {日次レポ−トの設定}をクリックして出てくる画面 で、〆日次レポ−トを有効にする、作成対象 ◎すべてのユ−ザ、レポ−トの種類 ◎総合 レポ−ト。そして画面一番下に、レポ−ト通知の送信先:[ikken@nix.co.jj ] 入力がある。 [アップデ−ト]->[スケジュ−ル] 画面ではパタ−ンファイル、検索エンジン、URLフィル タエンジンのアップデ−トの曜日と時間の設定がある。[アップデ−ト]->[設定]ではプロ キシサ−バを介す場合の設定、保存するパタ−ンファイルの数の設定がある。 [通知] 画面の右上の {通知先の設定} をクリックすると、ここに 送信者のメ−ルアドレ ス:root@nix.co.jj、通知先:ikken@nix.co.jj、SMTPサ−バのIPアドレス:192.168.1.8 な ど記載。メ−ルキュ−を確認する時間は 10 分になっていた。 [通知] ではウィルスやトロイの木場などが検知された場合、 管理者にメ−ルで知らせる 通知先が ikken@nix.co.jj と表示されている。 パタ−ンファイルのアップデ−トの所で は "〆成功、〆失敗、アップデ−ト不要" で通知先:ikken@nix.co.jj と表示されていた。 IWSS からのお知らせメ−ルの今後。レポ−トのメ−ルは IWSS画面で見るのと同じなので 無しにする。パタ−ンファイルなどのアップデ−トの知らせも無しに。[通知]の {HTTP検 索} でのメ−ルは?、ウィルスのチェックは HTTP ではこれまでやってない。2016/03/10 * 現状の IWSS のバ−ジョンなど 現在リリ−スされている IWSS の Linux 版のバ−ジョンは 5.6 と 3.1 がある。 3.1 の 状況は以下のようで生きている。打ち切りになったりはしてない。現状の IWSS のプログ ラムは下記のと同じ Build: 1066.00 で、パッチは [管理]->[システムパッチ] を見ると IWSS 3.1 Linux JA Patch 2 build 1223、日付 07/21/2011。 検索エンジンのバ−ジョン は何か分からない、[概要]->[検索]をクリックするとログイン画面に戻って表示しないの である。でも多分、最新になっていると思う。ウィルスなどパタ−ンファイルと検索エン ジンとURLフィルタエンジンは自動でアップデ−トするようになっているので。 多分これはこれでWebレピュテ−ションなどチェック機能は正常に働いているのだろう。 Trend Micro InterScan Web Security Suite 3.1、Build: 1066.00、マスタ−プログラム。 リリ−スは 2008-06-02 の iwss31-lin-b1066.tar.gz、214.8MB。 Critical Patch というパッチが1つあり 2014-12-02 iwss-31-lx32-cpb1337.tgz、1.2MB、 Build: 1337.00。もう1つパッチあり、Product Patch という 2014-08-20 iwss-31-lin- patch8-b1334.tgz、15.5 MB、Build: 1334.00。この2つしかないけど。 検索エンジンは Build: 9.850、2015-10-14 JP-IWSS-VSAPI9850_lin.zip、0.91MB。 OS は Linux 32-bit。もう1つあり Build: 9.800、2014-10-06、VSAPI9800 というの。 * 参考 21-2. HP仮想サ−バの運用いろいろ rinne2.txt 21-3. Red Hat Enterprise Linux rinne3.txt 21-5. 続インタ−ネット接続周りの事 rinne7.txt 22-1. マルウェアとの戦いは続く rinne4.txt ● squid のログ解析 # ls /usr/lib/squid cachemgr.cgi ip_user_check sasl_auth quid_ldap_auth yp_auth digest_pw_auth msnt_auth smb_auth squid_ldap_group diskd-daemon ncsa_auth smb_auth.pl squid_unix_group fakeauth_auth ntlm_auth smb_auth.sh unlinkd getpwname_auth pam_auth squid_kerb_auth wbinfo_group.pl squid.conf ---------------------------------------------------------------------- | | |# TAG: logfile_rotate |# Specifies the number of logfile rotations to make when you |# type 'squid -k rotate'. The default is 10, which will rotate |# with extensions 0 through 9. Setting logfile_rotate to 0 will |# disable the file name rotation, but the logfiles are still closed |# and re-opened. This will enable you to rename the logfiles |# yourself just before sending the rotate signal. |# |# Note, the 'squid -k rotate' command normally sends a USR1 |# signal to the running squid process. In certain situations |# (e.g. on Linux with Async I/O), USR1 is used for other |# purposes, so -k rotate uses another signal. It is best to get |# in the habit of using 'squid -k rotate' instead of 'kill -USR1 |# '. |# |#logfile_rotate 0 |# |#Default: |# logfile_rotate 0 | | # squidclient -p 80 mgr:info HTTP/1.0 200 OK Server: squid/2.6.STABLE21 Date: Fri, 18 May 2012 06:46:09 GMT Content-Type: text/plain Expires: Fri, 18 May 2012 06:46:09 GMT Last-Modified: Fri, 18 May 2012 06:46:09 GMT X-Cache: MISS from host2 X-Cache-Lookup: MISS from host2:80 Via: 1.0 host2:80 (squid/2.6.STABLE21) Proxy-Connection: close Squid Object Cache: Version 2.6.STABLE21 Start Time: Fri, 18 May 2012 06:42:05 GMT Current Time: Fri, 18 May 2012 06:46:09 GMT Connection information for squid: Number of clients accessing cache: 1 Number of HTTP requests received: 1 Number of ICP messages received: 0 Number of ICP messages sent: 0 Number of queued ICP replies: 0 Request failure ratio: 0.00 Average HTTP requests per minute since start: 0.2 Average ICP messages per minute since start: 0.0 Select loop called: 683 times, 356.594 ms avg Cache information for squid: Request Hit Ratios: 5min: 0.0%, 60min: 0.0% Byte Hit Ratios: 5min: 100.0%, 60min: 100.0% Request Memory Hit Ratios: 5min: 0.0%, 60min: 0.0% Request Disk Hit Ratios: 5min: 0.0%, 60min: 0.0% Storage Swap size: 41104 KB Storage Mem size: 108 KB Mean Object Size: 14.49 KB Requests given to unlinkd: 0 Median Service Times (seconds) 5 min 60 min: HTTP Requests (All): 0.00000 0.00000 Cache Misses: 0.00000 0.00000 Cache Hits: 0.00000 0.00000 Near Hits: 0.00000 0.00000 Not-Modified Replies: 0.00000 0.00000 DNS Lookups: 0.00000 0.00000 ICP Queries: 0.00000 0.00000 Resource usage for squid: UP Time: 243.554 seconds CPU Time: 0.044 seconds CPU Usage: 0.02% CPU Usage, 5 minute avg: 0.02% CPU Usage, 60 minute avg: 0.02% Process Data Segment Size via sbrk(): 2640 KB Maximum Resident Size: 24176 KB Page faults with physical i/o: 0 Memory usage for squid via mallinfo(): Total space in arena: 2772 KB Ordinary blocks: 2695 KB 4 blks Small blocks: 0 KB 0 blks Holding blocks: 244 KB 1 blks Free Small blocks: 0 KB Free Ordinary blocks: 76 KB Total in use: 2939 KB 97% Total free: 76 KB 3% Total size: 3016 KB Memory accounted for: Total accounted: 364 KB memPoolAlloc calls: 15821 memPoolFree calls: 6630 File descriptor usage for squid: Maximum number of file descriptors: 1024 Largest file desc currently in use: 13 Number of file desc currently in use: 10 Files queued for open: 0 Available number of file descriptors: 1014 Reserved number of file descriptors: 100 Store Disk files open: 0 IO loop method: epoll Internal Data Structures: 2864 StoreEntries 27 StoreEntries with MemObjects 26 Hot Object Cache Items 2837 on-disk objects