Phase 3 Monitoring Vorbereitung¶

Status: Phase 3 ist technisch abgeschlossen. Grafana, Prometheus, PVE Exporter, Zabbix und Wazuh sind nach VLAN 60 Monitoring-Logging migriert; Proxmox Datacenter Manager ist als letzter aktiver Phase-3-Kandidat nach VLAN 20 Proxmox-Hypervisor migriert. UDM Local DNS, NetBox-Nachpflege und SMTP-DNS-first sind nachgezogen; offen bleiben dedizierte Zabbix-/Wazuh-API-Tokens und fachliche App-/Agentenpruefungen.

Aktueller read-only Export: .backups/phase3_monitoring_readonly_20260525_212431 lokal, nicht committed. Zusaetzlich gibt es ein dediziertes Grafana-Preflight-Skript: scripts/phase3-grafana-preflight.sh; letzter erfolgreicher Testlauf nach Migration: .backups/phase3_grafana_preflight_20260525_204859.

Durchgefuehrt: Monitoring Schwenks¶

Zeitpunkt: 2026-05-25 20:44-21:28 Europe/Berlin.

Durchgefuehrte produktive Aenderungen:

Bereich	Aenderung	Backup/Rollback
Proxmox CT `116`	`net0` von `10.0.0.136/20` ohne Tag auf VLAN `60`, `10.222.60.12/24`, Gateway `10.222.60.1` gesetzt	lokaler Export `.backups/grafana_migration_20260525_204410`; Proxmox Snapshot `pre-vlan60-grafana-20260525_204410`
NPM CT `308`	Proxy Host `grafana.epxm.de` von `10.0.0.136:3000` auf `10.222.60.12:3000` gesetzt, Nginx reload	NPM-Backup im Container `/data/backup-codex-grafana-20260525_204449`, lokaler Log `.backups/npm_grafana_backend_20260525_204449`
Grafana CT `116`	`/etc/hosts` Eintrag `grafana.ad.lanstyle.de grafana` auf `10.222.60.12` korrigiert	Container-Backup `/root/backup-codex-hosts-20260525_204622`, lokaler Log `.backups/grafana_hosts_20260525_204622`
UDM Pro DNS	UniFi-Client `Grafana` per Network API auf feste IP `10.222.60.12` im Netz `LS_Monitoring` gesetzt und Local DNS Record `grafana.ad.lanstyle.de` aktiviert	lokaler Export `.backups/udm_dns_grafana_fixedip_20260525_205820`; vorheriger API-Versuch ohne Fixed-IP abgelehnt unter `.backups/udm_dns_grafana_20260525_205745`
Grafana CT `116`	lokaler `/etc/hosts` Override fuer `grafana.ad.lanstyle.de` nach erfolgreicher UDM-DNS-Aufloesung entfernt	Container-Backup `/root/backup-codex-hosts-remove-20260525_205924`, lokaler Log `.backups/grafana_hosts_remove_20260525_205924`
PVE Exporter CT `118`	`net0` von `10.0.0.138/20` auf VLAN `60`, `10.222.60.14/24`, Gateway `10.222.60.1` gesetzt	lokaler Export `.backups/prom_pve_migration_20260525_210404`; Proxmox Snapshot `pre-vlan60-pve-exporter-20260525_210404`
Prometheus CT `117`	Prometheus-Scrape-Ziel von `10.0.0.138:9221` auf `10.222.60.14:9221` gesetzt; `net0` von `10.0.0.137/20` auf VLAN `60`, `10.222.60.13/24`, Gateway `10.222.60.1` gesetzt	lokaler Export `.backups/prom_pve_migration_20260525_210404`; Proxmox Snapshot `pre-vlan60-prometheus-20260525_210404`; Config-Backup im CT `/root/prometheus.yml.pre-pve-exporter-vlan60-20260525_210404`
UDM Pro DNS	UniFi-Clients `Prometheus` und `Prometheus-PVE-Export` auf feste IPs `10.222.60.13/14` im Netz `LS_Monitoring` gesetzt und Local DNS Records aktiviert	lokaler Export `.backups/udm_dns_prometheus_20260525_210600`
Prometheus CT `117`	lokaler `/etc/hosts` Override fuer `prometheus.ad.lanstyle.de` entfernt	Container-Backup `/root/backup-codex-hosts-remove-20260525_210725`, lokaler Log `.backups/prometheus_hosts_remove_20260525_210725`
Zabbix CT `115`	`net0` von `10.0.0.135/20` ohne Tag auf VLAN `60`, `10.222.60.11/24`, Gateway `10.222.60.1` gesetzt	lokaler Export `.backups/zabbix_migration_20260525_211103`; Proxmox Snapshot `pre-vlan60-zabbix-20260525_211103`
UDM Pro DNS	UniFi-Client `Zabbix` auf feste IP `10.222.60.11` im Netz `LS_Monitoring` gesetzt und Local DNS Record `zabbix.ad.lanstyle.de` aktiviert	lokaler Export `.backups/udm_dns_zabbix_refresh_20260525_211254`; erster API-Versuch unter `.backups/udm_dns_zabbix_20260525_211212`
Zabbix CT `115`	lokaler `/etc/hosts` Override fuer `zabbix.ad.lanstyle.de` entfernt	Container-Backup `/root/backup-codex-hosts-remove-20260525_211329`, lokaler Log `.backups/zabbix_hosts_remove_20260525_211329`
Wazuh CT `110`	`net0` von `10.0.0.7/20` ohne Tag auf VLAN `60`, `10.222.60.10/24`, Gateway `10.222.60.1` gesetzt	lokaler Export `.backups/wazuh_migration_20260525_211936`; Proxmox Snapshot `pre-vlan60-wazuh-20260525_211936`
NPM CT `308`	Proxy Host `wazuh.lanstyle.de` von `10.0.0.7:443` auf `10.222.60.10:443` gesetzt, Nginx reload	NPM-Backup im Container `/data/backup-codex-wazuh-20260525_212007`, lokaler Log `.backups/npm_wazuh_backend_20260525_212007`
PDM CT `119`	`net0` von `10.0.0.240/20` ohne Tag auf VLAN `20`, `10.222.20.20/24`, Gateway `10.222.20.1` gesetzt	lokaler Export `.backups/pdm_migration_20260525_212736`; Proxmox Snapshot `pre-vlan20-pdm-20260525_212736`
PDM CT `119`	lokale Alt-IP-Anzeigen in `/etc/hosts` und `/etc/issue` von `10.0.0.240` auf `10.222.20.20` korrigiert	Container-Backups `/root/backup-codex-hosts-20260525_212804` und `/root/backup-codex-issue-20260525_212804`; lokaler Log `.backups/pdm_local_ip_refs_20260525_212804`

Tests nach Aenderung:

Test	Ergebnis
VLAN-60 Gateway vom Proxmox-Uplink	`10.222.60.1` per temporaerem VLAN-Link erreichbar
Grafana CT Gateway	`10.222.60.1` erreichbar
Grafana direkt	`http://10.222.60.12:3000/login` HTTP `200`
Grafana ueber NPM	`https://grafana.epxm.de/login` HTTP `200`
NPM zu neuem Backend	aus CT `308` zu `10.222.60.12:3000` HTTP `200`
Grafana Dienststatus	`grafana-server` aktiv
UDM DNS	`grafana.ad.lanstyle.de -> 10.222.60.12` ueber `10.0.0.1` und `10.222.60.1`
Grafana lokaler Name	`grafana.ad.lanstyle.de -> 10.222.60.12` im CT ohne lokalen `/etc/hosts` Override
SMTP Altpfad	`10.222.40.25:25` aus VLAN 60 erreichbar
Prometheus Ready	`http://prometheus.ad.lanstyle.de:9090/-/ready` HTTP `200`
PVE Exporter Metrics	`http://pve-exporter.ad.lanstyle.de:9221/metrics` HTTP `200`
Prometheus Targets	`prometheus`, `proxmox`, `unifi-poller` alle `up`; Proxmox Target nutzt `10.222.60.14:9221`, Proxmox selbst bleibt bis Hostmigration `10.0.0.220`
Zabbix direkt	`http://10.222.60.11/` HTTP `200`; TCP `10051` offen
Zabbix DNS	`zabbix.ad.lanstyle.de -> 10.222.60.11` ueber `10.0.0.1` und `10.222.60.1`
Zabbix lokaler Name	`zabbix.ad.lanstyle.de -> 10.222.60.11` im CT ohne lokalen `/etc/hosts` Override
Zabbix Dienste	`zabbix-server`, `apache2`, `postgresql` aktiv
Wazuh direkt	`https://10.222.60.10/` HTTP `302 /app/login`; TCP `1514`, `1515`, `55000` offen
Wazuh ueber NPM	`https://wazuh.lanstyle.de/` HTTP `302 /app/login`, Backend `10.222.60.10:443`
Wazuh Dienste	`wazuh-manager`, `wazuh-dashboard`, `wazuh-indexer`, `filebeat` aktiv
Wazuh Agentenliste	`agent_control -lc` zeigt nur lokalen Agent `000`
PDM direkt	`https://10.222.20.20:8443/` HTTP `200`; TCP `8443` offen
PDM Dienste	`proxmox-datacenter-api` und `proxmox-datacenter-privileged-api` aktiv
Prometheus Targets	`prometheus`, `proxmox` und `unifi-poller` nach Abschlusscheck alle `up`
Gestoppte Kandidaten	PBS CT `111` und MySpeed CT `112` bleiben gestoppt und wurden nicht gestartet oder migriert

Offen nach Schwenk:

UDM Pro ist zentrale DNS-Quelle fuer diesen Record; grafana.ad.lanstyle.de ist dort ueber den UniFi-Client Local-DNS-Record aktiv.
SMTP ist noch auf altem Pfad 10.222.40.25:25 erreichbar; Ziel bleibt smtp.ad.lanstyle.de.
NetBox muss die tatsaechliche Migration von Wazuh, Grafana, Prometheus, PVE Exporter und Zabbix auf 10.222.60.10-14 sowie PDM auf 10.222.20.20 nachziehen.
Grafana-Datasources wurden ohne Login/API-Secret nicht fachlich geprueft; DB-Query zeigte keine nicht-redigierten Secrets im Commit.
Aktiver harter Alt-IP-Treffer im Preflight nach Migration: nur noch SMTP Relay 10.0.0.3/10.222.40.25:25.
Prometheus enthaelt bewusst weiter Legacy-Ziele 10.0.0.200:9130 fuer unifi-poller und 10.0.0.220 fuer Proxmox, bis diese Systeme selbst migriert sind.
Zabbix Host-/Agentenliste wurde ohne UI/API-Login noch nicht fachlich exportiert; Port 10051 ist erreichbar, konkrete Agent-Server-Konfigurationen bleiben zu pruefen.
Wazuh hat laut lokaler Agentenliste keine extern registrierten Agents; Syslog-/Remote-Forwarder und Dashboard-Login wurden noch nicht fachlich mit Login/API geprueft.
wazuh.ad.lanstyle.de und proxmox-datacenter-manager.ad.lanstyle.de sind noch nicht als UDM Local DNS Records gesetzt; Vaultwarden ist aktuell locked, daher wurden keine Secrets fuer diesen Nachzug genutzt.
PBS CT 111 und MySpeed CT 112 sind stopped mit onboot: 0; sie wurden fuer Phase 3 bewusst nicht gestartet, weil das eine separate produktive Zustandsaenderung waere.

Zielgruppe¶

Reihenfolge	Dienst	Proxmox CT	Alt-IP	Ziel-IP	Ziel-FQDN	Bewertung
1	Grafana	116	`10.0.0.136`	`10.222.60.12`	`grafana.ad.lanstyle.de`	migriert, NPM getestet
2	Prometheus	117	`10.0.0.137`	`10.222.60.13`	`prometheus.ad.lanstyle.de`	migriert, Targets gruen
3	PVE Exporter	118	`10.0.0.138`	`10.222.60.14`	`pve-exporter.ad.lanstyle.de`	migriert, Metrics gruen
4	Zabbix	115	`10.0.0.135`	`10.222.60.11`	`zabbix.ad.lanstyle.de`	migriert, Agentenliste noch fachlich pruefen
5	Wazuh	110	`10.0.0.7`	`10.222.60.10`	`wazuh.ad.lanstyle.de`	migriert, UDM Local DNS aktiv
6	Proxmox Datacenter Manager	119	`10.0.0.240`	`10.222.20.20`	`proxmox-datacenter-manager.ad.lanstyle.de`	migriert, UDM Local DNS aktiv

DNS Vorbereitung¶

Diese Records werden vorbereitet, aber Alt-Records und oeffentliche Namen bleiben bis zur jeweiligen Dienstmigration unveraendert aktiv.

Name	Typ	Ziel	TTL vor Migration
`grafana.ad.lanstyle.de`	A/Local DNS via UDM Client Record	`10.222.60.12`	aktiv
`prometheus.ad.lanstyle.de`	A/Local DNS via UDM Client Record	`10.222.60.13`	aktiv
`pve-exporter.ad.lanstyle.de`	A/Local DNS via UDM Client Record	`10.222.60.14`	aktiv
`zabbix.ad.lanstyle.de`	A/Local DNS via UDM Client Record	`10.222.60.11`	aktiv
`wazuh.ad.lanstyle.de`	A/Local DNS via UDM Client Record	`10.222.60.10`	aktiv
`proxmox-datacenter-manager.ad.lanstyle.de`	A/Local DNS via UDM Client Record	`10.222.20.20`	aktiv
`smtp.ad.lanstyle.de`	A/Local DNS via UDM Client Record	`10.0.0.3`	aktiv bis SMTP-Relay selbst migriert

Reverse-Zone fuer 10.222.60.0/24 einplanen. grafana.epxm.de bleibt oeffentlicher/NPM-Name und wird erst beim NPM-Backend-Schritt auf die Ziel-IP geschwenkt.

NetBox Vorbereitung¶

In NetBox wird nichts geloescht. Fuer die Site Lanstyle Lindenstrasse werden folgende Objekte als planned gepflegt:

Objekt	Wert
Parent Prefix	`10.222.0.0/16`
VLAN	`60 Monitoring-Logging`
Prefix	`10.222.60.0/24`
Gateway	`10.222.60.1/24`
IPs	`10.222.60.10-14/24` fuer Wazuh, Zabbix, Grafana, Prometheus, PVE Exporter
Tags	`lindenstrasse`, `planned`, `phase-3`, `monitoring`

Der Plan ist bereits in data/netbox-lindenstrasse-target-plan.json enthalten. Schreibender NetBox-Import erfolgt erst nach separatem API-/Write-Check und Backup.

UniFi Firewall Entwurf¶

Default-Deny zwischen VLANs bleibt gesetzt. Fuer VLAN 60 werden nur explizite Pfade vorbereitet:

Quelle	Ziel	Ports	Grund	Zeitpunkt
Monitoring `10.222.60.0/24`	DNS/DCs `10.222.40.10/11`	TCP/UDP 53	DNS	vor erster Migration
Monitoring `10.222.60.0/24`	NTP-Ziel	UDP 123	Zeitbasis	vor erster Migration
Monitoring `10.222.60.0/24`	SMTP Relay `10.222.40.25`	TCP 25/587	Alerts	vor Dienstanpassung
Management	Monitoring	TCP 22, Dienstports, ICMP	Administration und Test	vor erster Migration
DMZ NPM `10.222.50.10`	Grafana `10.222.60.12`	TCP 3000	`grafana.epxm.de`	bei Grafana-Schwenk
Prometheus `10.222.60.13`	PVE Exporter `10.222.60.14`	TCP 9221	PVE-Metriken	Prometheus/PVE-Exporter
Prometheus `10.222.60.13`	Proxmox `10.222.20.10`	TCP 8006, ICMP	PVE API	nach PVE-Zielpfad
Prometheus `10.222.60.13`	Docker-Lanstyle/unpoller	TCP 9130	bestehender Scrape	Legacy-Allow bis Zielmigration
interne Systeme	Zabbix `10.222.60.11`	TCP 10051, optional SNMP/Agent-Pfade nach Hostliste	Zabbix Agenten/Hosts	migriert, Hostliste nachziehen
interne Systeme	Wazuh `10.222.60.10`	TCP 1514/1515/55000, UDP 514	Agenten/Syslog	migriert, fachliche Quellen pruefen
DMZ NPM `10.222.50.10`	Wazuh `10.222.60.10`	TCP 443	`wazuh.lanstyle.de`	migriert

Prometheus muss fuer 10.0.0.200:9130, 10.0.0.220 und 10.0.0.138:9221 gezielt umgestellt oder temporaer per Legacy-Regel erreicht werden. Keine pauschale Freigabe von Monitoring nach LAN.

Grafana Erster Kandidat¶

Vor dem Wartungsfenster:

scripts/phase3-grafana-preflight.sh ausfuehren und Exportpfad notieren.
Proxmox CT-Konfiguration, Grafana-Konfigauszug, Portliste und NPM-Backend pruefen.
Sicherstellen, dass VLAN 60 auf Proxmox-Uplink und UniFi-Trunk laeuft.
DNS grafana.ad.lanstyle.de auf 10.222.60.12 vorbereiten.
Firewall-Pfade fuer DNS, NTP, SMTP, Management und NPM vorbereiten.
Rollback-Kommandos bereitlegen.

Geplante Proxmox-Kommandos im Wartungsfenster, nicht vorher ausfuehren:

pct snapshot 116 pre-vlan60-grafana-$(date +%Y%m%d-%H%M%S) --description "Pre VLAN60 Grafana migration"
pct set 116 -net0 name=eth0,bridge=vmbr0,tag=60,gw=10.222.60.1,hwaddr=BC:24:11:20:51:87,ip=10.222.60.12/24,type=veth

Falls die Netzwerkaenderung nicht hotplug-sauber greift, ist ein kontrollierter CT-Restart im Wartungsfenster einzuplanen.

Geplante App-/Backend-Aenderungen:

Komponente	Alt	Ziel
Grafana SMTP	`10.222.40.25:25` falls aktiv	`smtp.ad.lanstyle.de`
NPM `grafana.epxm.de`	`http://10.0.0.136:3000`	`http://10.222.60.12:3000`
interne Links	Alt-IP falls vorhanden	`grafana.ad.lanstyle.de`

Tests¶

Test	Erwartung
Gateway	`10.222.60.1` von Grafana erreichbar
DNS	`grafana.ad.lanstyle.de` forward/reverse korrekt
Dienst lokal	`http://10.222.60.12:3000/login` liefert Login/Redirect
NPM	`https://grafana.epxm.de` erreichbar nach Backend-Schwenk
SMTP	Testalert ueber `smtp.ad.lanstyle.de`
Admin	SSH/Management nur aus erlaubten Netzen
Monitoring	bestehende Dashboards/Datasources laden
Default-Deny	keine freien Zugriffe in Core/Management/Clients

Rollback Grafana¶

Rollback bleibt im Wartungsfenster offen, bis lokale IP, DNS, NPM und Login erfolgreich getestet wurden.

pct set 116 -net0 name=eth0,bridge=vmbr0,gw=10.0.0.1,hwaddr=BC:24:11:20:51:87,ip=10.0.0.136/20,type=veth

Danach NPM-Backend grafana.epxm.de zurueck auf 10.0.0.136:3000, DNS-Zielrecord entfernen/deaktivieren oder auf Altpfad zurueckstellen und Firewall-Temporaerregeln entfernen. Snapshot erst nach Abnahme loeschen.

Stop-Kriterien¶

Kein frischer Export aus scripts/phase3-grafana-preflight.sh.
VLAN 60 nicht auf Gateway, Trunk und Proxmox-Pfad getestet.
NPM-Alt-/Zielbackend nicht dokumentiert.
DNS-Record oder Reverse-Zone fehlt.
Grafana-Konfig enthaelt unerwartete harte 10.0.-Abhaengigkeiten.
Kein Rollback-Fenster oder kein Wartungsfenster.