Zabbix通过JMX监控Tomcat(被监控端安装Tomat的服务器防火墙策略iptables配置)

 

一、目前的环境

被监控端192.168.153.191

/usr/local/tomcat

下载了catalina-jmx-remote.jar放到了tomcat安装目录的lib目录下，现在为止这个jar包没有派上用场。

/usr/local/jdk1.7.0_79

tomcat的bin目录添加了一个setenv.sh脚本(可以写成一行，这个百度下能找到)

CATALINA_OPTS="${CATALINA_OPTS} -Djava.rmi.server.hostname=192.168.153.191"
CATALINA_OPTS="${CATALINA_OPTS} -Djavax.management.builder.initial="
CATALINA_OPTS="${CATALINA_OPTS} -Dcom.sun.management.jmxremote=true"
CATALINA_OPTS="${CATALINA_OPTS} -Dcom.sun.management.jmxremote.port=12345"
CATALINA_OPTS="${CATALINA_OPTS} -Dcom.sun.management.jmxremote.ssl=false"
CATALINA_OPTS="${CATALINA_OPTS} -Dcom.sun.management.jmxremote.authenticate=false"

  按照平常的思维： 按理说只要在iptables里开放一个12345端口就可以了

Zabbix_Server及Zabbix_Java_Gateway端192.168.153.181

安装目录就不说明了，一般可以在/usr/local/zabbix_server,/usr/local/zabbix_java_gateway

主要是想说明两个配置文件

zabbix_server.conf

ListenPort=10051
LogFile=/tmp/zabbix_server.log
DBName=zabbix
DBUser=zabbix
DBPassword=zabbix
DBPort=3306
JavaGateway=127.0.0.1
JavaGatewayPort=10052
StartJavaPollers=5

 zabbix_java_gateway的配置文件(zabbix_java_gateway安装目录/zabbix_java/sbin/setting.sh)

LISTEN_IP="0.0.0.0"
LISTEN_PORT=10052
PID_FILE="/tmp/zabbix_java.pid"
START_POLLERS=5

说明

1）Zabbix_Server与Zabbix_Java_Gateway在一台机器上IP地址为192.168.153.181

被监控的机器上，装了tomcat ，IP地址为192.168.153.191

两台机器上的系统都为CentOS 6.5

 

2）已经通过前篇文章在被监控的机器上(192.168.153.191)，配置好了JMX，防火墙(iptable)开放了12345端口。

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 12345 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

 

 二、存在问题

telnet 192.168.153.191 12345 是可以连上的，但是jconsole连不上，zabbix web页面上hosts项显示也是连不上

 

 

 

 

 三、寻找问题原因

从来没遇到过这样的奇葩情况，开始一路google，baidu。找了十几篇文章，都搞不定。有些文章指出使用（org.apache.catalina.mbeans.JmxRemoteLifecycleListener 这个类在catalina-jmx.remote.jar包中，在server.xml中配置一个Listener，我没试过，这个我想估计是解决的一个方法）。

偶然看到小日本的一篇文章让我茅塞顿开，文章网址：http://www.checksite.jp/jconsole-jmx-tomcat/

配置如下：

 setenv.sh文件内容

 設定内容 は以下になります。この設定で、リモートノードからJMXを使って（認証は行わずに）Tomcat の Java VM を監視できるようになります。

1 2 3 4 5 6 7 8

# cat setenv.sh #!/bin/sh   export CATALINA_OPTS="-Dcom.sun.management.jmxremote=true                        -Dcom.sun.management.jmxremote.port=10080                        -Dcom.sun.management.jmxremote.ssl=false                        -Dcom.sun.management.jmxremote.authenticate=false" #

portは「10080」としていますが、環境に合致したポート番号を使っても問題ありません。
以下のように実行権限を与えておきます。

 

iptable的配置如下：

リモートノードからJMXを使って接続できるようにする為に、先ほど setenv.sh で指定したJMXポートに対する接続をFireWallで開放します。

私の環境では、iptables を使っているので、iptables での設定を以下に記載しておきます。

# iptables --list --line-number　（←番号確認）
# iptables --insert INPUT (番号) -p tcp -s (ソースIP) --dport 10080:65535 -j ACCEPT
# iptables --list --line-number　（←追加確認）
# /sbin/service iptables save　（←ファイルへ保存）
# cat /etc/sysconfig/iptables　（←保存ファイルを確認）