Page tree
Skip to end of metadata
Go to start of metadata

Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Для успешной работы системы протоколирования для событий аудита необходимо провести дополнительную настройку сервера и агента.

Настройка сервера

Для настройки севера нужно импортировать шаблон Astra, для чего:

  1. Перейти в Настройки - Шаблоны и нажать кнопку "Импорт":

  2. Загрузить файл, нажав на кнопку "Обзор" и выбрав нужный шаблон по пути /usr/share/zabbix/conf/zabbix_astra_template.xml. После этого добавить новый шаблон к узлу сети;

  3. Перейти в "Настройки" - "Узлы сети", выбрать нужный узел и перейти в закладку "Шаблоны":


  4. Выбрать шаблон "Template Astra Linux", нажав "Выбрать", указав группу "Astra clients", и добавить его к узлу, нажав "Добавить":

  5. Обновить конфигурацию с помощью кнопки "Обновить":


Настройка агента

  1. В конфигурационном файле агента /etc/zabbix/zabbix_agentd.conf:
    1. В строке Server и ServerActive указать адрес сервера;
    2. в строке Hostname указать имя агента (должно совпадать с указанным на сервере агентом):

      /etc/zabbix/zabbix_agentd.conf
      ### Option: Server
      #   List of comma delimited IP addresses, optionally in CIDR notation, or hostnames of Zabbix servers.
      #   Incoming connections will be accepted only from the hosts listed here.
      #   If IPv6 support is enabled then '127.0.0.1', '::127.0.0.1', '::ffff:127.0.0.1' are treated equally and '::/0' will allow any IPv4 or IPv6 address.
      #   '0.0.0.0/0' can be used to allow any IPv4 address.
      #   Example: Server=127.0.0.1,192.168.1.0/24,::1,2001:db8::/32,zabbix.domain
      #
      # Mandatory: no
      # Default:
      # Server=
       
      Server=10.0.0.23
                                                                                                       
      ### Option: ServerActive                                                                           
      #   List of comma delimited IP:port (or hostname:port) pairs of Zabbix servers for active checks.  
      #   If port is not specified, default port is used.                                                
      #   IPv6 addresses must be enclosed in square brackets if port for that host is specified.         
      #   If port is not specified, square brackets for IPv6 addresses are optional.                     
      #   If this parameter is not specified, active checks are disabled.                                
      #   Example: ServerActive=127.0.0.1:20051,zabbix.domain,[::1]:30051,::1,[12fc::1]                  
      #                                                                                                  
      # Mandatory: no                                                                                    
      # Default:                                                                                         
      # ServerActive=                                                                                    
                                                                                                         
      ServerActive=10.0.0.23
      
      
      ### Option: Hostname                                                                               
      #   Unique, case sensitive hostname.                                                               
      #   Required for active checks and must match hostname as configured on the server.                
      #   Value is acquired from HostnameItem if undefined.                                              
      #                                                                                                  
      # Mandatory: no                                                                                    
      # Default:                                                                                         
      # Hostname=                                                                                        
                                                                                                         
      Hostname=sudcm 
  2. Запустить юнит plog и добавить его в автозагрузку:

    systemctl enable plog
    systemctl start plog

После выполнения указанных действий события аудита будут отображаться в окне мониторинга на сервере zabbix.

Настройка запуска сценария по триггеру

Далее приводится пример сценария, выполняющего мониторинг свободного места на клиенте и, при остатке менее 10%, запускающего службу logrotate. Сценарий настраивается для работы на узле sudcm.

На сервере

  1. Перейдя в "Настройка" - "Узлы сети" - "sudcm" - "Элементы данных" создать элемент данных нажав кнопку "Создать элемент данных":

    Содержание элемента
    Имя: Free space in %
    Тип: Zabbix агент (активный)
    Ключ: vfs.fs.size[/,pfree]
    Тип информации: Числовой (с плавающей точкой)
    Интервал обновления: 10s



  2. Создать триггер для этого элемента, для чего:

    1. Перейти в "Настройка" - "Узлы сети" - "sudcm" - "Триггеры";

    2. Нажать кнопку "Создать триггер".
      Триггер сработает при остатке свободного места меньше 10%:

      Содержание триггера
      Имя: free_space
      Важность: Предупреждение
      Выражение: {sudcm:vfs.fs.size[/,pfree].last(,10)}<10



    3. Добавить триггер, нажав кнопку "Добавить" внизу формы:


    4. Создать действие, перейдя в  Настройка - Действия и нажав кнопку "Создать действие":

      Содержание действия
      Имя: my_script
      Условия: Триггер = sudcm:free_space
      Операции:
      	Детали:
      		Шаги 1 - 1
      		Длительность шага: 0
      		Тип операции: Удаленная команда
      		Список целей: Узел сети: sudcm
      		Тип: Пользовательский скрипт
      		Команды: /usr/sbin/logrotate -f /etc/logrotate.d/

На агенте

  1. Важно, что бы на агенте в конфигурационном файле был задан параметр EnableRemoteCommands=1:

    /etc/zabbix/zabbix_agentd.conf
    ### Option: EnableRemoteCommands                                                                                                                        
    #   Whether remote commands from Zabbix server are allowed.                                                                                             
    #   0 - not allowed                                                                                                                                     
    #   1 - allowed                                                                                                                                         
    #                                                                                                                                                       
    # Mandatory: no                                                                                                                                         
    # Default:
    EnableRemoteCommands=1
  2. Для записи исполнения удаленных команд в журнал выставить там же параметр LogRemoteCommands=1:

    /etc/zabbix/zabbix_agentd.conf
    ### Option: LogRemoteCommands                                                                                                                           
    #   Enable logging of executed shell commands as warnings.                                                                                              
    #   0 - disabled                                                                                                                                        
    #   1 - enabled                                                                                                                                         
    #                                                                                                                                                       
    # Mandatory: no                                                                                                                                         
    # Default:                                                                                                                                              
    LogRemoteCommands=1 
  3. Внести пользователя zabbix в список пользователей, которым празрешено использовать sudo для повышения привилегий, для чего с помощью команды

    sudo visudo
    отредактировать файл /etc/sudoers добавив туда строку:

    /etc/sudoers
    zabbix ALL=NOPASSWD: /usr/sbin/logrotate
  • No labels