| Оглавление |
|---|
| Информация | ||
|---|---|---|
| ||
|
| Информация |
|---|
| Для успешной работы системы протоколирования для событий аудита необходимо провести дополнительную настройку сервера и агента. |
Настройка сервера
Для настройки севера нужно импортировать шаблон Astra, для чего перейти в Настройки - Шаблоны и нажать кнопку "Импорт":
|
После этого можно добавить новый шаблон к узлу сети.
Перейти в Настройки - Узлы сети, выбрать нужный узел и перейти в шаблоныAstra
|
|
|
|
Настройка сервера Zabbix
Для настройки сервера Zabbix необходимо импортировать шаблоны для Astra Linux, для чего:
- Открыть в браузере WEB-интерфейс Zabbix;
- Перейти в Настройки - Шаблоны и нажать кнопку Импорт:
- Загрузить шаблон, для чего:
- Нажать кнопку Обзор;
- Выбрать шаблон в файле
/usr/share/zabbix/conf/zabbix_astra_template.xml;
- Для работы с агентами Astra Linux Special Edition c включенным МРД или МКЦ повторить последнее действие, выбрав файл шаблона
/usr/share/zabbix/conf/zabbix_astra_parsec_template.xml; - После загрузки шаблонов добавить их к узлу сети, для чего;
- Перейти в Настройки - Узлы сети;
- Выбрать нужный узел;
- Перейти в закладку "Шаблоны":
- Нажав Выбрать в группе узлов сети
Astra clientsвыбрать шаблоныTemplate Astra Linux иTemplate Astra Linux Parsecдля Astra Linux Special Edition в режиме МКЦ и МРД и добавить их к узлу, нажав "Выбрать":
- Обновить конфигурацию узла с помощью кнопки Обновить:
Настройка агента
- В конфигурационном файле агента
/etc/zabbix/zabbix_agentd.conf:- В строках
ServerиServerActiveуказать IP-адрес (при настроенном DNS - имя) сервера; В строке
Hostnameуказать имя агента. Имя агента должно совпадать с указанным на сервере именем агента и может содержать буквенно-цифровые символы, пробелы, точки, тире и подчеркивания:Блок кода language bash title /etc/zabbix/zabbix_agentd.conf ### Option: Server # List of comma delimited IP addresses, optionally in CIDR notation, or hostnames of Zabbix servers. # Incoming connections will be accepted only from the hosts listed here. # If IPv6 support is enabled then '127.0.0.1', '::127.0.0.1', '::ffff:127.0.0.1' are treated equally and '::/0' will allow any IPv4 or IPv6 address. # '0.0.0.0/0' can be used to allow any IPv4 address. # Example: Server=127.0.0.1,192.168.1.0/24,::1,2001:db8::/32,zabbix.domain # # Mandatory: no # Default: # Server= Server=192.168.27.110
- В строках
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Выбрать шаблон "Template Astra Linux", нажав "Выбрать", указав группу "Astra clients", и добавить его к узлу, нажав "Добавить"
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
После чего обновить конфигурацию с помощью кнопки "Обновить"
Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Настройка агента
В конфигурационном файле агента, в строке Server и ServerActive указать адрес сервера;
в строке Hostname указать имя агента (должно совпадать с указанным на сервере агентом):
| language | bash |
|---|---|
| title | /etc/zabbix/zabbix_agentd.conf |
### Option: ServerActive # List of comma delimited IP:port (or hostname:port) pairs of Zabbix servers for active checks. # If port is not specified, default port is used. # IPv6 addresses must be enclosed in square brackets if port for that host is specified. # If port is not specified, square brackets for IPv6 addresses are optional. # If this parameter is not specified, active checks are disabled. # Example: ServerActive=127.0.0.1:20051,zabbix.domain,[::1]:30051,::1,[12fc::1] # # Mandatory: no # Default: # ServerActive= ServerActive=
192.
168.
27.
110 ### Option: Hostname # Unique, case sensitive hostname. # Required for active checks and must match hostname as configured on the server. # Value is acquired from HostnameItem if undefined. # # Mandatory: no # Default: # Hostname= Hostname=
astraclientВнести пользователя
zabbixв группуadmкомандой:Command
systemctl enable plogsystemctl start plogПосле этого события аудита будут видны через мониторинг на zabbix-сервере
Настройка запуска скрипта по триггеру
Пример мониторинга свободного места на клиенте и, при остатке менее 10%, запуска скрипта logrotate на клиенте на примере агента sudcm
На сервере
Создать элемент данных, перейдя в Настройка - Узлы сети - sudcm - Элементы данных и нажав кнопку "Создать элемент данных":
| Блок кода | ||
|---|---|---|
| ||
Имя: Free space in %
Тип: Zabbix агент (активный)
Ключ: vfs.fs.size[/,pfree]
Тип информации: Числовой (с плавающей точкой)
Интервал обновления: 10s |
Создать триггер для этого элемента, перейдя в Настройка - Узлы сети - sudcm - Триггеры и нажав кнопку "Создать триггер"
(сработает при остатке свободного места меньше 10%):
| Блок кода | ||
|---|---|---|
| ||
Имя: free_space
Важность: Предупреждение
Выражение: {sudcm:vfs.fs.size[/,pfree].last(,10)}<10 |
И добавить его, нажав кнопку "Добавить" внизу формы:
Создать действие, перейдя в Настройка - Действия и нажав кнопку "Создать действие":
| Блок кода | ||
|---|---|---|
| ||
Имя: my_script
Условия: Триггер = sudcm:free_space
Операции:
Детали:
Шаги 1 - 1
Длительность шага: 0
Тип операции: Удаленная команда
Список целей: Узел сети: sudcm
Тип: Пользовательский скрипт
Команды: /usr/sbin/logrotate -f /etc/logrotate.d/ |
language bash title /etc/sudoers sudo usermod -aG adm zabbix Перезапустить
zabbix-agentкомандой:Command language bash title /etc/sudoers sudo systemctl restart zabbix-agent
После выполнения указанных выше действий отдельные события аудита будут отображаться в WEB-интерфейсе zabbix-сервера в разделе Мониторинг:
Для определения дополнительных событий аудита, подлежащих регистрации, необходимо в разделе Аудит приложения - Управление политикой безопасности (fly-admin-smc) установить переключатели Успех и Отказ напротив регистрируемых событий аудита. Для применения изменений необходимо перезагрузить сессию пользователя или перезагрузить компьютер:
Настройка триггеров
Триггеры - это логические выражения, которые "оценивают" получаемые данные и отражают текущее состояние системы. Шаблоны Zabbix для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) содержат общие настройки, использующихся для сбора системных данных Astra Linux, и крайне непрактично наблюдать за этими данными всё время в ожидании выполнения условия, приводящего к оповещению или которое заслуживающего внимания. Работа по "оценке" данных может выполняться автоматически с использованием триггеров в соответствии с установленной в сети политикой безопасности.
Для создания триггера:
- В WEB-интрефейе сервера перейти в Настройка -> Шаблоны -> Триггеры;
- Нажать кнопку Создать триггер:
- В появившемся окне:
- Задать имя триггера;
- Установить важность триггера;
- Нажать кнопку Добавить для задания выражения триггера:
- Заполнить открывшуюся форму Условие (пример показан на рисунке):
- Нажать кнопку Вставить;
- Нажать кнопку Добавить после чего в открывшемся окне отобразится строка с добавленным триггером:
Для проверки срабатывания триггера на компьютере с установленным zabbix-агентом выполнить произвольную команду с использованием sudo, например:
| Command |
|---|
На агенте
Важно, что бы на агенте в конфигурационном файле был задан параметр EnableRemoteCommands=1
| Блок кода | ||||
|---|---|---|---|---|
| ||||
### Option: EnableRemoteCommands
# Whether remote commands from Zabbix server are allowed.
# 0 - not allowed
# 1 - allowed
#
# Mandatory: no
# Default:
EnableRemoteCommands=1 |
| Блок кода | ||
|---|---|---|
| ||
### Option: LogRemoteCommands
# Enable logging of executed shell commands as warnings.
# 0 - disabled
# 1 - enabled
#
# Mandatory: no
# Default:
LogRemoteCommands=1 |
Внести пользователя zabbix в sudoers добавив туда строку:
| Блок кода | ||||
|---|---|---|---|---|
| zabbix ALL=NOPASSWD: /usr/sbin/logrotate||||
| sudo systemctl restart zabbix-agent |
В случае успеха примерно через 1-2 минуты на сервере в разделе Мониторинг -> Проблемы отобразится факт срабатывание триггера:
