zabbix监控日志的实现
描述:基于生产中需要及时掌握重要应用的日志情况,可以使用zabbix进行监控通知
zabbix监控的配置实现
1. 配置zabbix_agentd.conf(由于之前的配置这里是主动和被动混合使用)
[root@zabbix ~]# egrep -v "#|^$" /etc/zabbix/zabbix_agentd.conf PidFile=/var/run/zabbix/zabbix_agentd.pid LogFile=/var/log/zabbix/zabbix_agentd.log LogFileSize=0 Server=11.11.22.235 ##被动模式,客户端允许这个ip来采集 ServerActive=127.0.0.1,11.11.22.235 ##主动模式的ip,客户端主动发数据到这个地址 Hostname=zabbix ##要与hosts中的hostname保持一致,否则无法收集 Include=/etc/zabbix/zabbix_agentd.d/*.conf 注:agent是以"Hostname"为参数向server发送"active checks"请求,server收到请求,到数据库里找到相同的名称的主机后,向agent返回active类型的监控项列表。agent根据这个item list进行监控,收集数据,并主动把数据推送给server。
2.设置日志文件的权限
[root@zabbix ~]# setfacl -m u:zabbix:r-- /var/log/secure (建议使用) 或者 [root@zabbix ~]# chown zabbix.root /var/log/secure 注: /var/log/secure的权限一般是600,zabbix agent对此文件没有权限。zabbix用户是agent的启动用户,要设置zabbix用户对/var/log/secure有可读权限,这样agent才能监控。
3.修改logrotate配置并重启agent
[root@zabbix ~]# cat /etc/logrotate.d/syslog /var/log/cron /var/log/maillog /var/log/messages /var/log/secure /var/log/spooler { missingok sharedscripts postrotate /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true /usr/bin/setfacl -m u:zabbix:r-- /var/log/secure ### endscript } 重启 [root@zabbix ~]# systemctl restart zabbix-agent
4.在zabbix的web管理中配置item(注意: Type - 选择Zabbix agent (active))
5. 配置trigger
expression: {zabbix:log[/var/log/secure,"Failed password"].str(Failed)}=1 and {zabbix:log[/var/log/secure,"Failed password"].nodata(60)}=0 表达式的含义为:如果用户登录失败了,item返回数据中会包含"Failed",则触发器被触发,60秒内没有新数据的话,触发器恢复。这样就保证了触发器不会一直在触发状态。 下面把表达式拆解分析: A:{zabbix:log[/var/log/secure,"Failed password"].str(Failed)}=1,表示如果字符串中包含"Failed"则表达式为真。 B:{zabbix:log[/var/log/secure,"Failed password"].nodata(60)}=0,表示60秒内有数据产生则表达式为真,即60秒内如果没有新数据了,则表达式为假。 逻辑为A & B,表示同时符合A、B两个条件(同时为真),触发器才会触发。
6.模拟SSH连接失败
#SSH客户端 [root@web ~]# ssh 11.11.22.235 root@11.11.22.235's password: Permission denied, please try again. root@11.11.22.235's password: sadfas Permission denied, please try again. root@11.11.22.235's password: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password). ##zabbix server端(日志监控端) [root@zabbix ~]# tail -f /var/log/secure Mar 14 17:24:30 zabbix sshd[888]: Failed password for root from 11.11.22.235 port 56952 ssh2 Mar 14 17:24:31 zabbix sshd[888]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root" Mar 14 17:24:33 zabbix sshd[888]: Failed password for root from 11.11.22.235 port 56952 ssh2 Mar 14 17:24:33 zabbix sshd[888]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root" Mar 14 17:24:35 zabbix sshd[888]: Failed password for root from 11.11.22.235 port 56952 ssh2 Mar 14 17:24:35 zabbix sshd[888]: Connection closed by 11.11.22.235 port 56952 [preauth] Mar 14 17:24:35 zabbix sshd[888]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=web user=root
7.检查最近的数据