基本介绍

prometheus+grafana一般合起来用，作用是监控

以下介绍部分参考：prometheus+grafana监控设置

Prometheus（普罗米修斯）是一套开源的监控&报警&时间序列数据库的组合，起始是由SoundCloud公司开发的。随着发展，越来越多公司和组织接受采用Prometheus，社会也十分活跃，他们便将它独立成开源项目，并且有公司来运作。Google SRE的书内也曾提到跟他们BorgMon监控系统相似的实现是Prometheus。现在最常见的Kubernetes容器管理系统中，通常会搭配Prometheus进行监控。

Prometheus基本原理是通过HTTP协议周期性抓取被监控组件的状态，这样做的好处是任意组件只要提供HTTP接口就可以接入监控系统，不需要任何SDK或者其他的集成过程。这样做非常适合虚拟化环境比如VM或者Docker 。

Prometheus应该是为数不多的适合Docker、Mesos、Kubernetes环境的监控系统之一。
输出被监控组件信息的HTTP接口被叫做exporter 。目前互联网公司常用的组件大部分都有exporter可以直接使用，比如Varnish、Haproxy、Nginx、MySQL、Linux 系统信息 (包括磁盘、内存、CPU、网络等等)，具体支持的源看：https://github.com/prometheus。

exporter长这样

harbor_exporter、mysqld exporter、named process exporter、node exporter、redis exporter v1.27.0

Prometheus自带的图形并不够强大，于是我们可以使用Grafana作为Prometheus的Dashboard。

grafana

做渗透的时候发现了这玩意，不知道是干嘛用的，先记下来，页面是这样的

网上搜了搜，默认账号密码是admin/admin，试了试不对，后来通过口令复用登进去了，账号密码是

<系统名>admin/<系统名>@123456

以后可以这样构造试试，这个系统有个任意文件读取漏洞，复现起来很简单
Grafana 6.4.3任意文件读取
Grafana 8.3.1, 8.2.7, 8.1.8, and 8.0.7 released with high severity security fix
【漏洞复现】Grafana任意文件读取漏洞(CVE-2021-43798)

prometheus

而prometheus这玩意是敏感信息泄露，参考文章：
Protecting Prometheus: Insecure configuration exposes secrets

长这样