Дерево страниц

Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Информация
Для успешной работы системы протоколирования для событий аудита необходимо провести дополнительную настройку сервера и агента.

Настройка сервера

Для настройки севера нужно импортировать шаблон Astra, для чего перейти в Настройки - Шаблоны и нажать кнопку "Импорт":

Image Removed

Далее загрузить файл, нажав на кнопку "Обзор" и выбрав нужный шаблон по пути /usr/share/zabbix/conf/zabbix_astra_template.xml
01 (очередное обновление 1.6)

После этого можно добавить новый шаблон к узлу сети.

Перейти в Настройки - Узлы сети, выбрать нужный узел и перейти в шаблоныAstra
  • 17
  • Astra Linux Special Edition РУСБ.
10015
  • 10152-
01
  • 02 (очередное обновление
1


Настройка сервера Zabbix

Для настройки сервера Zabbix необходимо импортировать шаблоны для Astra Linux, для чего:

  1. Открыть в браузере WEB-интерфейс Zabbix;

  2. Перейти в Настройки - Шаблоны и нажать кнопку Импорт:
    Image Added

  3. Загрузить шаблон, для чего:
    1. Нажать кнопку Обзор;
    2. Выбрать шаблон в файле /usr/share/zabbix/conf/zabbix_astra_template.xml;

  4. Для работы с агентами Astra Linux Special Edition c включенным МРД или МКЦ повторить последнее действие, выбрав файл шаблона /usr/share/zabbix/conf/zabbix_astra_parsec_template.xml;

  5. После загрузки шаблонов добавить их к узлу сети, для чего;
    1. Перейти в Настройки - Узлы сети;
    2. Выбрать нужный узел;
    3. Перейти в закладку "Шаблоны":
      Image Added
    4. Нажав Выбрать в группе узлов сети Astra clients выбрать шаблоны Template Astra Linux и Template Astra Linux Parsec для Astra Linux Special Edition в режиме МКЦ и МРД и  добавить их к узлу, нажав "Выбрать":
      Image Added
    5. Обновить конфигурацию узла с помощью кнопки Обновить:
      Image Added



Настройка агента

  1. В конфигурационном файле агента /etc/zabbix/zabbix_agentd.conf:
    1. В строках Server и ServerActive указать IP-адрес (при настроенном DNS - имя) сервера;
    2. В строке Hostname указать имя агента. Имя агента должно совпадать с указанным на сервере именем агента и может содержать буквенно-цифровые символы, пробелы, точки, тире и подчеркивания:

      Блок кода
      languagebash
      title/etc/zabbix/zabbix_agentd.conf
      ### Option: Server
      #   List of comma delimited IP addresses, optionally in CIDR notation, or hostnames of Zabbix servers.
      #   Incoming connections will be accepted only from the hosts listed here.
      #   If IPv6 support is enabled then '127.0.0.1', '::127.0.0.1', '::ffff:127.0.0.1' are treated equally and '::/0' will allow any IPv4 or IPv6 address.
      #   '0.0.0.0/0' can be used to allow any IPv4 address.
      #   Example: Server=127.0.0.1,192.168.1.0/24,::1,2001:db8::/32,zabbix.domain
      #
      # Mandatory: no
      # Default:
      # Server=
       
      Server=192.168.27.110
       
6)

Image RemovedAstra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

Выбрать шаблон "Template Astra Linux", нажав "Выбрать", указав группу "Astra clients", и добавить его к узлу, нажав "Добавить"

Image RemovedAstra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

Image Removed

После чего обновить конфигурацию с помощью кнопки "Обновить"

Image RemovedAstra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

Настройка агента

В конфигурационном файле агента,  в строке Server и ServerActive указать адрес сервера;

в строке Hostname указать имя агента (должно совпадать с указанным на сервере агентом):

Блок кода
languagebash
title/etc/zabbix/zabbix_agentd.conf
### Option: Server # List of comma delimited IP addresses, optionally in CIDR notation, or hostnames of Zabbix servers. # Incoming connections will be accepted only from the hosts listed here. # If IPv6 support is enabled then '127.0.0.1', '::127.0.0.1', '::ffff:127.0.0.1' are treated equally and '::/0' will allow any IPv4 or IPv6 address. # '0.0.0.0/0' can be used to allow any IPv4 address. # Example: Server=127.0.0.1,192.168.1.0/24,::1,2001:db8::/32,zabbix.domain # # Mandatory: no # Default: # Server= Server=10.0.0.23
    1.                                                                                                 
      ### Option: ServerActive                                                                           
      #   List of comma delimited IP:port (or hostname:port) pairs of Zabbix servers for active checks.  
      #   If port is not specified, default port is used.                                                
      #   IPv6 addresses must be enclosed in square brackets if port for that host is specified.         
      #   If port is not specified, square brackets for IPv6 addresses are optional.                     
      #   If this parameter is not specified, active checks are disabled.                                
      #   Example: ServerActive=127.0.0.1:20051,zabbix.domain,[::1]:30051,::1,[12fc::1]                  
      #                                                                                                  
      # Mandatory: no                                                                                    
      # Default:                                                                                         
      # ServerActive=                                                                                    
                                                                                                         
      ServerActive=
10
    1. 192.
0
    1. 168.
0
    1. 27.
23
    1. 110
      
      
      ### Option: Hostname                                                                               
      #   Unique, case sensitive hostname.                                                               
      #   Required for active checks and must match hostname as configured on the server.                
      #   Value is acquired from HostnameItem if undefined.                                              
      #                                                                                                  
      # Mandatory: no                                                                                    
      # Default:                                                                                         
      # Hostname=                                                                                        
                                                                                                         
      Hostname=
sudcm Запустить юнит plog и добавить его в автозагрузку
    1. astraclient 


    2. Внести пользователя zabbix в группу adm командой:

      Command
systemctl enable plog
systemctl start plog

После этого события аудита будут видны через мониторинг на zabbix-сервере

Настройка запуска скрипта по триггеру

Пример мониторинга свободного места на клиенте и, при остатке менее 10%, запуска скрипта logrotate на клиенте на примере агента sudcm

На сервере

Создать элемент данных, перейдя в Настройка - Узлы сети - sudcm - Элементы данных и нажав кнопку "Создать элемент данных":

Image Removed

Блок кода
titleСодержание элемента
Имя: Free space in %
Тип: Zabbix агент (активный)
Ключ: vfs.fs.size[/,pfree]
Тип информации: Числовой (с плавающей точкой)
Интервал обновления: 10s
Image Removed

Создать триггер для этого элемента, перейдя в Настройка - Узлы сети - sudcm - Триггеры и нажав кнопку "Создать триггер"

(сработает при остатке свободного места меньше 10%):

Image Removed

Блок кода
titleСодержание триггера
Имя: free_space
Важность: Предупреждение
Выражение: {sudcm:vfs.fs.size[/,pfree].last(,10)}<10

Image Removed

И добавить его, нажав кнопку "Добавить" внизу формы:

Image Removed

Создать действие, перейдя в  Настройка - Действия и нажав кнопку "Создать действие":

Image Removed

Блок кода
titleСодержание действия
Имя: my_script
Условия: Триггер = sudcm:free_space
Операции:
	Детали:
		Шаги 1 - 1
		Длительность шага: 0
		Тип операции: Удаленная команда
		Список целей: Узел сети: sudcm
		Тип: Пользовательский скрипт
		Команды: /usr/sbin/logrotate -f /etc/logrotate.d/

Image Removed

Image Removed

    1. languagebash
      title/etc/sudoers
      sudo usermod -aG adm zabbix


    2. Перезапустить zabbix-agent командой:

      Command
      languagebash
      title/etc/sudoers
      sudo systemctl restart zabbix-agent


После выполнения указанных выше действий отдельные события аудита будут отображаться в WEB-интерфейсе zabbix-сервера в разделе Мониторинг:

Image Added

Для определения дополнительных событий аудита, подлежащих регистрации, необходимо в разделе Аудит приложения - Управление политикой безопасности (fly-admin-smc) установить переключатели Успех и Отказ напротив регистрируемых событий аудита. Для применения изменений необходимо перезагрузить сессию пользователя или перезагрузить компьютер:

Image Added


Настройка триггеров

Триггеры - это логические выражения, которые "оценивают" получаемые данные и отражают текущее состояние системы. Шаблоны  Zabbix для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) содержат общие настройки, использующихся для сбора системных данных Astra Linux,  и крайне непрактично наблюдать за этими данными всё время в ожидании выполнения условия, приводящего к оповещению или которое заслуживающего внимания. Работа по "оценке" данных может выполняться автоматически с использованием триггеров в соответствии с установленной в сети политикой безопасности.

Для создания триггера:

  1. В WEB-интрефейе сервера перейти в Настройка -> Шаблоны -> Триггеры;
  2. Нажать кнопку Создать триггер:
    Image Added
  3. В появившемся окне:
    1. Задать имя триггера;
    2. Установить важность триггера;
    3. Нажать кнопку Добавить для задания выражения триггера:
      Image Added
    4. Заполнить открывшуюся форму Условие (пример показан на рисунке):
      Image Added
    5. Нажать кнопку Вставить;
    6. Нажать  кнопку Добавить после чего в открывшемся окне отобразится строка с добавленным триггером:
      Image Added


Для проверки срабатывания триггера на компьютере с установленным zabbix-агентом выполнить произвольную команду с использованием sudo, например:

Command

На агенте

Важно, что бы на агенте в конфигурационном файле был задан параметр EnableRemoteCommands=1

Блок кода
languagebash
title/etc/zabbix/zabbix_agentd.conf
### Option: EnableRemoteCommands                                                                                                                        
#   Whether remote commands from Zabbix server are allowed.                                                                                             
#   0 - not allowed                                                                                                                                     
#   1 - allowed                                                                                                                                         
#                                                                                                                                                       
# Mandatory: no                                                                                                                                         
# Default:
EnableRemoteCommands=1
Для логирования исполнения удаленных команд выставить там же параметр LogRemoteCommands=1
Блок кода
title/etc/zabbix/zabbix_agentd.conf
### Option: LogRemoteCommands                                                                                                                           
#   Enable logging of executed shell commands as warnings.                                                                                              
#   0 - disabled                                                                                                                                        
#   1 - enabled                                                                                                                                         
#                                                                                                                                                       
# Mandatory: no                                                                                                                                         
# Default:                                                                                                                                              
LogRemoteCommands=1 

Внести пользователя zabbix в sudoers добавив туда строку:

zabbix ALL=NOPASSWD: /usr/sbin/logrotate
Блок кода
languagebash
title/etc/sudoers
sudo systemctl restart zabbix-agent

В случае успеха примерно через 1-2 минуты на сервере в разделе Мониторинг -> Проблемы отобразится факт срабатывание триггера:

Image Added