Оглавление |
---|
Информация | ||
---|---|---|
| ||
|
Информация |
---|
Для успешной работы системы протоколирования для событий аудита необходимо провести начальную настройку сервера и агента. |
Настройка сервера
Для настройки севера нужно импортировать шаблоны для Astra Linux, для чего перейти :
- Открыть в браузере WEB-интерфейс Zabbix;
- Перейти в Настройки - Шаблоны и нажать кнопку Импорт:
- Загрузить файл, нажав на кнопку Обзор и
- выбрав нужный шаблон по пути
/usr/share/zabbix/conf/zabbix_astra_template.xml
;
- Для работы с агентами Astra Linux Special Edition c включенным МРД или МКЦ повторить последнее действие для шаблона
zabbix_astra_parsec_template.xml
по тому же пути
- ;
- После
- загрузки шаблонов добавить новый новые шаблоны к узлу сети
- ;
- Перейти в Настройки - Узлы сети, выбрать нужный узел и перейти в
- закладку "Шаблоны":
- Нажав Выбрать в группе узлов сети
Astra clients
выбрать шаблоныTemplate Astra Linux
- закладку "Шаблоны":
и
Template Astra Linux Parsec
для Astra Linux
- Special Edition в режиме МКЦ и МРД и добавить их к узлу, нажав "Добавить"
- :
- Обновить конфигурацию узла с помощью кнопки Обновить:
- Обновить конфигурацию узла с помощью кнопки Обновить:
Настройка агента
- В конфигурационном файле агента
/etc/zabbix/zabbix_agentd.conf
:
- в строках
Server
иServerActive
указать IP-адрес (
- в строках
- при настроенном DNS - имя) сервера;
В строке
Hostname
указать имя агента
. Имя агента должно совпадать с указанным на сервере
именем агента и может содержать буквенно-цифровые символы, пробелы, точки, тире и подчеркивания
:
Блок кода language bash title /etc/zabbix/zabbix_agentd.conf ### Option: Server # List of comma delimited IP addresses, optionally in CIDR notation, or hostnames of Zabbix servers. # Incoming connections will be accepted only from the hosts listed here. # If IPv6 support is enabled then '127.0.0.1', '::127.0.0.1', '::ffff:127.0.0.1' are treated equally and '::/0' will allow any IPv4 or IPv6 address. # '0.0.0.0/0' can be used to allow any IPv4 address. # Example: Server=127.0.0.1,192.168.1.0/24,::1,2001:db8::/32,zabbix.domain # # Mandatory: no # Default: # Server= Server=192.168.27.110 ### Option: ServerActive # List of comma delimited IP:port (or hostname:port) pairs of Zabbix servers for active checks. # If port is not specified, default port is used. # IPv6 addresses must be enclosed in square brackets if port for that host is specified. # If port is not specified, square brackets for IPv6 addresses are optional. # If this parameter is not specified, active checks are disabled. # Example: ServerActive=127.0.0.1:20051,zabbix.domain,[::1]:30051,::1,[12fc::1] # # Mandatory: no # Default: # ServerActive= ServerActive=192.168.27.110 ### Option: Hostname # Unique, case sensitive hostname. # Required for active checks and must match hostname as configured on the server. # Value is acquired from HostnameItem if undefined. # # Mandatory: no # Default: # Hostname= Hostname=astraclient
Внести пользователя
zabbix
в группу
adm
командой:
Command language bash title /etc/sudoers sudo
usermod
-aG
adm
zabbix Перезапустить
zabbix-agent
командой:
Command language bash title /etc/sudoers sudo
systemctl
restart
zabbix-agent
После
выполнения указанных выше настроек отдельные события аудита будут
отображаться в
WEB-интерфейсе zabbix-сервера в разделе Мониторинг:
Для определения дополнительных событий аудита, подлежащих регистрации, необходимо в
разделе Аудит приложения - Управление политикой безопасности (fly-admin-smc
) установить переключатели Успех и Отказ напротив нужных для регистрации событий аудита.
Для применения изменений необходимо перезагрузить сессию пользователя или перезагрузить компьютер:
Настройка триггеров
Триггеры - это логические выражения, которые "оценивают" данные, собранные элементами данных и отражают текущее состояние системы.
Тогда как в шаблоныШаблоны Zabbix для Astra Linux Special Edition (очередное обновление 1.7) содержат элементы данных,
которые используютсяиспользующихся для сбора системных данных Astra Linux, и крайне непрактично наблюдать за этими данными всё время в ожидании выполнения условия,
которое приведетприводящего к оповещению или которое
заслуживаетзаслуживающего внимания. Работа по "оценке" данных может
бытьвыполняться автоматически с использованием триггеров
,в соответствии с установленной в сети политикой безопасности.
Для создания триггера необходимо:
С использованием вебWEB-интрефейса сервера перейти в Настройка -> Шаблоны -> Триггеры. Нажать на кнопку Создать триггер:
В появившемся окне задать имя триггера, установить его важность, для задания выражения триггера нажать кнопку Добавить:
Заполнить появившуюся форму Условие, как показано на рисунке, нажать кнопку Вставить:
Далее нажать кнопку Добавить, в появившемся окне отобразится строка с добавленным триггером
Для проверки срабатывания триггера на компьютере с установленным zabbix-агентом выполнить произвольную команду, например:
Блок кодаcommand | ||||
---|---|---|---|---|
| ||||
sudo systemctl restart zabbix-agent |
В случае успеха примерно через 1-2 минуты на сервере в разделе Мониторинг -> Проблемы отобразится факт срабатывание триггера: