Предисловие: стоит Апач, обслуживает несколько десятков www.
Регулярно, один-два раза в неделю этот Апач ставит "на колени" сервер,
создавая сотни дочерних процессов, загружая процессор и память.
Естественно консоль отвечает на запросы с жуткими тормозами, винт "хрустит" от натуги.
После команды apachectl restart, все восстанавливается, на круги своя.

Какими средствами можно отследить, какой из сайтов Апача может создавать такие проблемы. А еще лучше какой командой и с какого IP.

Напрашивается вариант:
Мониторить загрузку по процессам и далее вычислять сокет, что-то типа -
1. Смотрим процессы: ps -eo pid,args,%cpu,%mem --sort %cpu,%mem|grep http
2. Далее просматриваем сокеты: netstat -p

Но есть ли какое-нибудь готовое (автоматизированное) средство.

И вообще, какие средства мониторинга (для таких случаев) хороши.

Интересно, а в логах что ничего по этому поводу не написано.
Может какието необычные запросы, ведь просто там ничего происходить не может.
Какая версия Apache у вас стоит? Ведь можно ограничить количество пораждающих доч проц, чтобы найти что то средьнее между качеством и стабильностью.
Насчет мониторинга без понятия, будем ждать ответом др лиц форума.

Можно смотреть логи айпитрафа входящих по 80 порту. это геморно, зато помогает.

Я с этим не работал, сужу только по названиям пакетов :

apachetop - ApacheTop -- top'ообразная утилита для Apache
kiowa - Kiowa is an Apache log analyser.
webalizer - Анализатор логов web/ftp/proxy-серверов

Guest, это я - anger :)
Спасибо за ответы.

Поразмышляв над ситуацией, пришел к выводу, что скорее всего это DoS.

Что народ думает насчет portsentry? Или есть варианты получше?

Добавлено:

Блин, а как же все-таки определить, какой Виртуал "грузит" Апач? :(

Portsentry у меня работала довольно стабильно, но есть риск что она будет обрубать пользователей, которые ни в чем не виноваты, лучше руками строить ipfw/ipchains/iptables. допустм, есть ситуация, когда 10 юзеров одновременно с одной прокси пришли, вот тут портсентри может удивиться

Ok. Едем дальше.

Кто-нибудь может тогда "размаячить" или кинуть ссылку (заслуживающую внимания), насчет Packet flow rate и
Packet burst rate в iptables.

Облазил кучу ресурсов, везде только общие слова, никаких
конкретных советов и примеров.

Как к примеру сказать, разрешить не более 50 echo-request в секунду?

Заранее пасиб. :biglaugh:

1 Я не очень понял что Вам надо, может это ?
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#LIMIT-MATCHTXT
2 А что в настройках самого Апачи, такого параметра нет ? Извиняюсь, если нет, я просто не работаю с Апачи.

Всем спасибо за обсуждение,

Апач валили sync пакетами (вызывает leak memory), поставил новый релиз и все разрешилось.