• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)



Для успешной работы системы протоколирования для событий аудита необходимо провести дополнительную настройку сервера и агента.

Настройка сервера

Для настройки севера нужно импортировать шаблон Astra, для чего:

  1. Перейти в Настройки - Шаблоны и нажать кнопку "Импорт":

  2. Загрузить файл, нажав на кнопку "Обзор" и выбрав нужный шаблон по пути /usr/share/zabbix/conf/zabbix_astra_template.xml. После этого добавить новый шаблон к узлу сети;

  3. Перейти в "Настройки" - "Узлы сети", выбрать нужный узел и перейти в закладку "Шаблоны":


  4. Выбрать шаблон "Template Astra Linux", нажав "Выбрать", указав группу "Astra clients", и добавить его к узлу, нажав "Добавить":

  5. Обновить конфигурацию с помощью кнопки "Обновить":


Настройка агента

  1. В конфигурационном файле агента /etc/zabbix/zabbix_agentd.conf:
    1. В строке Server и ServerActive указать адрес сервера;

    2. в строке Hostname указать имя агента (должно совпадать с указанным на сервере агентом):

      ### Option: Server
#   List of comma delimited IP addresses, optionally in CIDR notation, or hostnames of Zabbix servers.
#   Incoming connections will be accepted only from the hosts listed here.
#   If IPv6 support is enabled then '127.0.0.1', '::127.0.0.1', '::ffff:127.0.0.1' are treated equally and '::/0' will allow any IPv4 or IPv6 address.
#   '0.0.0.0/0' can be used to allow any IPv4 address.
#   Example: Server=127.0.0.1,192.168.1.0/24,::1,2001:db8::/32,zabbix.domain
#
# Mandatory: no
# Default:
# Server=
 
Server=10.0.0.23
                                                                                                 
### Option: ServerActive                                                                           
#   List of comma delimited IP:port (or hostname:port) pairs of Zabbix servers for active checks.  
#   If port is not specified, default port is used.                                                
#   IPv6 addresses must be enclosed in square brackets if port for that host is specified.         
#   If port is not specified, square brackets for IPv6 addresses are optional.                     
#   If this parameter is not specified, active checks are disabled.                                
#   Example: ServerActive=127.0.0.1:20051,zabbix.domain,[::1]:30051,::1,[12fc::1]                  
#                                                                                                  
# Mandatory: no                                                                                    
# Default:                                                                                         
# ServerActive=                                                                                    
                                                                                                   
ServerActive=10.0.0.23


### Option: Hostname                                                                               
#   Unique, case sensitive hostname.                                                               
#   Required for active checks and must match hostname as configured on the server.                
#   Value is acquired from HostnameItem if undefined.                                              
#                                                                                                  
# Mandatory: no                                                                                    
# Default:                                                                                         
# Hostname=                                                                                        
                                                                                                   
Hostname=sudcm


  2. Запустить юнит plog и добавить его в автозагрузку:

    systemctl enable plog
    systemctl start plog


После выполнения указанных действий события аудита будут отображаться в окне мониторинга на сервере zabbix.

Настройка запуска сценария по триггеру

Далее приводится пример сценария, выполняющего мониторинг свободного места на клиенте и, при остатке менее 10%, запускающего службу logrotate. Сценарий настраивается для работы на узле sudcm.

На сервере

  1. Перейдя в "Настройка" - "Узлы сети" - "sudcm" - "Элементы данных" создать элемент данных нажав кнопку "Создать элемент данных":

    Имя: Free space in %
Тип: Zabbix агент (активный)
Ключ: vfs.fs.size[/,pfree]
Тип информации: Числовой (с плавающей точкой)
Интервал обновления: 10s



  2. Создать триггер для этого элемента, для чего:

    1. Перейти в "Настройка" - "Узлы сети" - "sudcm" - "Триггеры";

    2. Нажать кнопку "Создать триггер".
      Триггер сработает при остатке свободного места меньше 10%:

      Имя: free_space
Важность: Предупреждение
Выражение: {sudcm:vfs.fs.size[/,pfree].last(,10)}<10



    3. Добавить триггер, нажав кнопку "Добавить" внизу формы:


    4. Создать действие, перейдя в  Настройка - Действия и нажав кнопку "Создать действие":

      Имя: my_script
Условия: Триггер = sudcm:free_space
Операции:
	Детали:
		Шаги 1 - 1
		Длительность шага: 0
		Тип операции: Удаленная команда
		Список целей: Узел сети: sudcm
		Тип: Пользовательский скрипт
		Команды: /usr/sbin/logrotate -f /etc/logrotate.d/


На агенте

  1. Важно, что бы на агенте в конфигурационном файле был задан параметр EnableRemoteCommands=1:

    ### Option: EnableRemoteCommands                                                                                                                        
#   Whether remote commands from Zabbix server are allowed.                                                                                             
#   0 - not allowed                                                                                                                                     
#   1 - allowed                                                                                                                                         
#                                                                                                                                                       
# Mandatory: no                                                                                                                                         
# Default:
EnableRemoteCommands=1


  2. Для записи исполнения удаленных команд в журнал выставить там же параметр LogRemoteCommands=1:

    ### Option: LogRemoteCommands                                                                                                                           
#   Enable logging of executed shell commands as warnings.                                                                                              
#   0 - disabled                                                                                                                                        
#   1 - enabled                                                                                                                                         
#                                                                                                                                                       
# Mandatory: no                                                                                                                                         
# Default:                                                                                                                                              
LogRemoteCommands=1


  3. Внести пользователя zabbix в список пользователей, которым празрешено использовать sudo для повышения привилегий, для чего с помощью команды

    sudo visudo

    отредактировать файл /etc/sudoers добавив туда строку:

    zabbix ALL=NOPASSWD: /usr/sbin/logrotate