Die gertenschlanke Monitoring-Lösung Darkstat hat bereits knapp 20 Jahre auf dem Buckel, erzeugt aber dank ihres minimalen Footprints selbst auf schwachbrüstigen Systemen kaum merkliche Last. Damit qualifiziert sie sich als perfektes Überwachungswerkzeug für den Einsatz in Charlys heimischem Technikraum.

Neben der Küche gibt es einen kleinen Technikraum. Ich glaube, er ist nicht einmal zwei Quadratmeter groß. Darin drängen sich neben der üblichen Haustechnik wie Sicherungskasten, Stromzähler und Wechselrichter auch zwei Firewalls, ein Server für Web und Mail, das NAS sowie ein großer Switch.

Etwas verschüchtert in der Ecke steht der kleine Router, den mein Internet-Provider mir bescherte. Ich habe ihn zum reinen Durchlauferhitzer degradiert; er baut die Verbindung zum Provider auf und reicht sie an die Firewall durch. Alles andere, wie WLAN, Telefonie und DHCP-Server, habe ich abgeschaltet: Das mache ich lieber selbst, auf eigener Hardware.

Was man betreibt, sollte man monitoren. Für die langfristige Beobachtung von Lasten und Latenzen benutze ich unter anderem Munin [1] und Smokeping [2]. Will ich aber nur einen kurzen Blick darauf werfen, was genau jetzt auf dem Firewall-Interface passiert, so ist Darkstat [3] der Held des Tages.

Darkstat, mit einem Alter von fast 20 Jahren ein wahrer Methusalem, steht seit 2002 unter der GPL. Ich hatte meinen ersten Kontakt mit der Software, als ich Pfsense ausprobierte [4]. Dank seines minimalen Footprints erzeugt das Monitoring-Tool so wenig Systemlast, dass es sogar auf meiner uralten NAS-Box mit 128 MByte RAM völlig unauffällig läuft [5].

Seine Daten bezieht Darkstat per Libpcap, die Ausgabe erfolgt über einen eingebauten, schlanken Webserver. Die wichtigsten Parameter enthält eine kleine Konfigurationsdatei, die auf meinem Test-Ubuntu unter »/etc/darkstat/« residiert (Listing 1). Deren Benutzung ist freiwillig; ich kann sie auch ignorieren und Darkstat einfach auf der Kommandozeile starten.

START_DARKSTAT=yes
INTERFACE="-i enp2s0"
DIR="/var/lib/darkstat"
BINDIP="-b 10.0.0.253"
PORT="667"
LOCAL="-l 10.0.0.0/255.255.255.0"
# no reverse lookups
#DNS="--no-dns"
# Additional command line Arguments:
OPTIONS="--syslog --no-macs"

Die einzige Pflichtoption ist »-i Interface«. Das Kommando »darkstat –help« listet alle weiteren Parameter auf. Vorsicht bei »–syslog«: Aktiviert man diesen Schalter, unterdrückt Darkstat sämtliche Konsolenmeldungen. Es ist daher sinnvoll, diesen Parameter erst zu setzen, wenn alles andere zur Zufriedenheit funktioniert.

Läuft Darkstat erst einmal wie gewünscht, dann steht auf Port 667 ein Webserver zur Verfügung, der die aktuellen Traffic-Daten darstellt (Abbildung 1). Schade finde ich, dass Darkstat die Daten in Bytes darstellt, nicht in Bits. Für einen schnellen Überblick, was sich auf der Leitung so tut, genügt das freilich.

Abbildung 1: Über einen Webserver auf Port 667 liefert Darkstat übersichtliche Auswertungen.

Mehr Details erhalte ich im Reiter Hosts. Hier listet Darkstat die beteiligten Geräte tabellarisch auf, sie lassen sich nach den Spaltenköpfen sortieren. So finde ich zum Beispiel heraus, dass sich das Musik-Streaming heute besonders großer Beliebtheit erfreut und Kind 1 eine Karriere als Instagramfluencer startet, oder wie immer das auf Neuhochdeutsch heißt (Abbildung 2).

Abbildung 2: Im Reiter Hosts listet Darkstat die beteiligten Geräte tabellarisch auf.

Ebenfalls praktisch: Darkstat stellt nicht nur Live-Daten dar, sondern visualisiert auf Wunsch auch Sessions, die vorher etwa mit Wireshark oder Tcpdump aufgezeichnet wurden. Fazit: Der Methusalem ist in Würde gealtert und wird noch gebraucht.