Содержание

Перейти к концу метаданных
Переход к началу метаданных


Для успешной работы системы протоколирования для событий аудита необходимо провести дополнительную настройку сервера и агента.

Настройка сервера

Для настройки севера нужно импортировать шаблон Astra, для чего перейти в Настройки - Шаблоны и нажать кнопку "Импорт":


Далее загрузить файл, нажав на кнопку "Обзор" и выбрав нужный шаблон по пути /usr/share/zabbix/conf/zabbix_astra_template.xml


После этого можно добавить новый шаблон к узлу сети.

Перейти в Настройки - Узлы сети, выбрать нужный узел и перейти в шаблоны


Выбрать шаблон "Template Astra Linux", нажав "Выбрать", указав группу "Astra clients", и добавить его к узлу, нажав "Добавить"


После чего обновить конфигурацию с помощью кнопки "Обновить"


Настройка агента

В конфигурационном файле агента,  в строке Server и ServerActive указать адрес сервера;

в строке Hostname указать имя агента (должно совпадать с указанным на сервере агентом):

/etc/zabbix/zabbix_agentd.conf
### Option: Server
#   List of comma delimited IP addresses, optionally in CIDR notation, or hostnames of Zabbix servers.
#   Incoming connections will be accepted only from the hosts listed here.
#   If IPv6 support is enabled then '127.0.0.1', '::127.0.0.1', '::ffff:127.0.0.1' are treated equally and '::/0' will allow any IPv4 or IPv6 address.
#   '0.0.0.0/0' can be used to allow any IPv4 address.
#   Example: Server=127.0.0.1,192.168.1.0/24,::1,2001:db8::/32,zabbix.domain
#
# Mandatory: no
# Default:
# Server=
 
Server=10.0.0.23
                                                                                                 
### Option: ServerActive                                                                           
#   List of comma delimited IP:port (or hostname:port) pairs of Zabbix servers for active checks.  
#   If port is not specified, default port is used.                                                
#   IPv6 addresses must be enclosed in square brackets if port for that host is specified.         
#   If port is not specified, square brackets for IPv6 addresses are optional.                     
#   If this parameter is not specified, active checks are disabled.                                
#   Example: ServerActive=127.0.0.1:20051,zabbix.domain,[::1]:30051,::1,[12fc::1]                  
#                                                                                                  
# Mandatory: no                                                                                    
# Default:                                                                                         
# ServerActive=                                                                                    
                                                                                                   
ServerActive=10.0.0.23


### Option: Hostname                                                                               
#   Unique, case sensitive hostname.                                                               
#   Required for active checks and must match hostname as configured on the server.                
#   Value is acquired from HostnameItem if undefined.                                              
#                                                                                                  
# Mandatory: no                                                                                    
# Default:                                                                                         
# Hostname=                                                                                        
                                                                                                   
Hostname=sudcm 


Запустить юнит plog и добавить его в автозагрузку:

systemctl enable plog
systemctl start plog

После этого события аудита будут видны через мониторинг на zabbix-сервере

Настройка запуска скрипта по триггеру

Пример мониторинга свободного места на клиенте и, при остатке менее 10%, запуска скрипта logrotate на клиенте на примере агента sudcm

На сервере

Создать элемент данных, перейдя в Настройка - Узлы сети - sudcm - Элементы данных и нажав кнопку "Создать элемент данных":


Содержание элемента
Имя: Free space in %
Тип: Zabbix агент (активный)
Ключ: vfs.fs.size[/,pfree]
Тип информации: Числовой (с плавающей точкой)
Интервал обновления: 10s



Создать триггер для этого элемента, перейдя в Настройка - Узлы сети - sudcm - Триггеры и нажав кнопку "Создать триггер"

(сработает при остатке свободного места меньше 10%):


Содержание триггера
Имя: free_space
Важность: Предупреждение
Выражение: {sudcm:vfs.fs.size[/,pfree].last(,10)}<10

И добавить его, нажав кнопку "Добавить" внизу формы:


Создать действие, перейдя в  Настройка - Действия и нажав кнопку "Создать действие":


Содержание действия
Имя: my_script
Условия: Триггер = sudcm:free_space
Операции:
	Детали:
		Шаги 1 - 1
		Длительность шага: 0
		Тип операции: Удаленная команда
		Список целей: Узел сети: sudcm
		Тип: Пользовательский скрипт
		Команды: /usr/sbin/logrotate -f /etc/logrotate.d/

На агенте

Важно, что бы на агенте в конфигурационном файле был задан параметр EnableRemoteCommands=1

/etc/zabbix/zabbix_agentd.conf
### Option: EnableRemoteCommands                                                                                                                        
#   Whether remote commands from Zabbix server are allowed.                                                                                             
#   0 - not allowed                                                                                                                                     
#   1 - allowed                                                                                                                                         
#                                                                                                                                                       
# Mandatory: no                                                                                                                                         
# Default:
EnableRemoteCommands=1


Для логирования исполнения удаленных команд выставить там же параметр LogRemoteCommands=1

/etc/zabbix/zabbix_agentd.conf
### Option: LogRemoteCommands                                                                                                                           
#   Enable logging of executed shell commands as warnings.                                                                                              
#   0 - disabled                                                                                                                                        
#   1 - enabled                                                                                                                                         
#                                                                                                                                                       
# Mandatory: no                                                                                                                                         
# Default:                                                                                                                                              
LogRemoteCommands=1 


Внести пользователя zabbix в sudoers добавив туда строку:

/etc/sudoers
zabbix ALL=NOPASSWD: /usr/sbin/logrotate
  • Нет меток