zabbix监控用户登录失败多次告警

最新推荐文章于 2024-08-13 12:29:59 发布
最新推荐文章于 2024-08-13 12:29:59 发布
阅读量7.9k 收藏 9
点赞数 2
分类专栏: zabbix
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25611295/article/details/80264673
版权

zabbix自带的默认模版里包括了很多监控项,有时候为了满足业务需求,需要根据自己的监控项目自定义监控项,这里介绍一种自定义监控项的方式。
设置日志文件的权限
/var/log/secure的权限一般是600,zabbix agent对此文件没有权限。zabbix用户是agent的启动用户,所以我们要设置zabbix用户对/var/log/secure有可读权限,这样agent才能监控。
执行下面的命令,追加zabbix的可读权限:

setfacl -m u:zabbix:r-- /var/log/secure
修改logrotate配置

sed -i '/kill/a\/usr\/bin\/setfacl -m u:zabbix:r-- \/var\/log\/secure' /etc/logrotate.d/syslog

1,首先编写自定义监控脚本,按分钟统计当前出现登录失败的次数

[root@iZwz98h11awz4grlqcg6goZ etc]# pwd
/usr/local/zabbix_agent/etc
[root@iZwz98h11awz4grlqcg6goZ etc]# cat check_failed.sh
#!/bin/bash

LOG_PATH="/var/log/secure"
mon=$(date +%B)
h=$(date +%d)
ms=$(date +%H:%M)
#表示字符开头为0就替换为空
h=${h/#0/""}
k=" "
count=`grep "$h$k$ms" /var/log/secure | grep -c Failed `

echo $count

2,修改zabbix_agentd.conf配置文件。
  说明:红色部分为需要我们修改的
  第一个:默认为0,此处我们将它改为1,改为1以后,表示用户自定义的脚本中可以包含特殊字符。
  第二个:为我们自定义监控项,格式为:UserParameter=<键值>,<命令>。这里我们自定义键值为:check_failed,要执行的命令为执行check_failed.sh这个脚本。
这里写图片描述

UnsafeUserParameters=1
UserParameter=check_failed,sh /usr/local/zabbix_agent/etc/check_failed.sh
添加完成以后,重启zabbix_agentd才会生效
3、测试键值是否生效
在zabbix-server端
[root@localhost bin]# ./zabbix_get -s xxxxxxxxx -p10050 -k “check_failed”
0
这里写图片描述
4、创建监控项
进入模板添加监控项
这里写图片描述

5、创建对应的触发器
这里写图片描述
6、最后对应主机重新加载模板(记住,要监控的的每台机器都要加入监控脚本和更改配置,不然不识别)可以观察数据,自己故意多输错几次密码,然后在对应最新数据可以看到图形和报警

这里写图片描述

超级大饭粒
关注
专栏目录
zabbix系列:监控用户登录失败次数(一句话搞定,无需开发脚本方法)
NIO4444
03-07 767
目录 需求 实现 实现方法1:自定义脚本(太笨且步骤繁多,请自行百度) 实现方法2:使用zabbix原生语法 文件授权 配置监控项 配置告警 测试 需求 监测系统用户登录失败次数,如果到达N次,则发送告警 实现 实现方法1:自定义脚本(太笨,请自行百度) 实现方法2:使用zabbix原生语法 文件授权 setfacl -m u:zabbix:r-- /var/log/secure 配置监控项 配置告警 测试 文件内容 指...
zabbix系列:修改登录失败次数、等待时间
NIO4444
05-12 1116
includes/defines.inc.php ZBX_LOGIN_ATTEMPTS: 每次允许最大失败次数 ZBX_LOGIN_BLOCK: 等待多久才可以再次登录
Zabbix日志监控:Linux异常登录告警
qq_38472465的博客
10-05 165
Zabbix日志监控:Linux异常登录告警
zabbix监控项、邮箱告警配置
最新发布
2201_75912662的博客
08-13 1077
我们运维工程师无法做到时刻盯着服务器查看各类状态,所以需要建立一套完善的。键值:all代表所有cpu核心,avg1代表1取其1分钟内的平均负载值。系统,将所有需要监控的服务器及其各种需要的状态数据都实时地。运维工程师除了搭建架构环境,配置管理外,还需要保证业务的。基于时间序列的数值数据的容器监控解决方案。这样创建的监控项对所有使用此模板的主机生效。语言实现的一个软件,它的主要功能是用。,这样创建的监控项只对此监控机生效。添加:添加你要创建图表所对应的监控项。协议得到设备的流量信息,并以包含。
zabbix登录错误
热门推荐
awenluck
08-06 2万+
通过http://xxx.xxx.xxx.xxx/zabbix/ 登录页面如下 Database error Error connecting to database: Access denied for user 'root'@'localhost' (using password: YES) 检查zabbix_server.conf文件,数据库,用户名,密码都对着.
zabbix避免瞬时触发频繁报警
weixin_34268610的博客
06-05 3881
{HOST:ITEM.count(600,100,"ge")}>3 and {HOST:ITEM.last(0)}>100以上意思为:在600秒内大于100了3次 且当前大于100,就会触发。所以偶发的突破100不会触发。count(时间,监控值,判断参数,延时时间)>次数 and 逻辑与判断参数:{eq: 相等 ne: 不相等 gt: 大于 ge: 大于等...
zabbix监控部署及其报警机制
Z__Cheng的博客
07-04 1488
zabbix监控部署及其报警机制
zabbix监控系统的应用--监控java,添加模版,告警
jay_youth的博客
08-16 2355
一.zabbix监控nginx 1.安装nginx 服务 rpm -ivh nginx-1.8.0-1.el6.ngx.x86_64.rpm 2.编辑nginx的配置文件cd /etc/nginx/conf.d/ vim default.conf server { listen 80; server_name localhost; #charse...
zabbix监控
scy1034446395的博客
01-04 1308
zabbix监控
《云计算》-安全策略-Zabbix高级配置-实现Zabbix报警功能:监控linux服务器系统账户,当账户数量超过35人发送报警邮件
解启超
03-06 515
1 案例1:实现Zabbix报警功能 1.1 问题 沿用之前博客Zabbix练习,使用Zabbix实现报警功能,实现以下目标: 监控Linux服务器系统账户 创建Media,设置邮件服务器及收件人邮箱 当系统账户数量超过35人时发送报警邮件 1.2 方案 自定义的监控项默认不会自动报警,首页也不会提示错误,需要配置触发器与报警动作才可以自定报警。 什么是触发器(trigger)? 表达式,如内存...
zabbix配置(五)之自定义用户数监控模块配置
云深海阔专栏
11-20 1117
注:zabbix自定义语法 UserParameter=<key>,<shell command> 一、修改agentd端配置文件 法一:单独引出配置文件 [root@localhost ~]#cd /etc/zabbix/zabbix_agentd.d/ 在/etc/zabbix/zabbix_agentd.d/目录下可以添加自定义监控配置。 新建一个名为u...
Zabbix监控集群操作用户“登录失败次数“和“失败日志记录“
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
12-29 3936
近期,快要邻近春节,安全方面更加重要。 首先要对操作系统的用户做安全监控,防止操作系统账号被爆破泄露,我们也要监控起来。 (1)Zabbix记录每分钟日志登录失败次数 (2)Zabbix记录登录失败用户的信息,方便查看 首先,我们整个集群日志,通过rsyslog服务,把上千台的日志同步到一台上,所以我们只需要监控这个rsyslog的服务端就可以了。 看效果图(这样一来,十分方便查看记录) (1)登录失败次数 日志格式 2021-12-29T15:04:16...
linux12企业实战 -- 56 zabbix常规监控错误汇总
明日之星
11-12 799
文章已删除
Zabbix日志监控监控Windows用户登录
weixin_34273479的博客
09-14 903
Zabbix监控Windows用户登录是通过对Windows日志的监控来实现。在登录审核失败或者登录成功时发出告警告警邮件示例: 下面给出监控思路和步骤:一、分析登录日志打开事件查看器,依次选择“Windows日志”->“安全”。 1、登录成功的日志通常一个登录成功的日志有四条:其中事件ID为4624的日志里包含登录...
Zabbix 监控Windows操作系统暴力破解事件,并实现告警
那个那个
11-23 1200
Zabbix 监控Windows操作系统暴力破解事件,并实现告警 背景描述: 一小公司自托管十来台硬件服务器(16G内存、32G内存等弱配置的服务器),服务器通过交换机联通网络,除此之外没有任何安全设备!没有防火墙、没有堡垒机。仅通过一台软路由做外网端口映射。运维人员通过映射后的远程端口远程服务器进行运维! 问题描述: 这种情况下极易造成服务器被暴力破解,通过事件查看器-安全可以看到大量的暴力破解登陆失败信息! 如此频繁暴力破解,第一会不停消耗服务器资源,第二万一真被暴力破解了那就玩完了! 今天要做的事情
Zabbix监控报警windows用户登陆
weixin_33752045的博客
01-16 710
一、目的目的:zabbix监控本地用户或者mstsc登陆windows服务器,避免密码泄露,恶意登陆,信息泄露现象,及时通报给系统管理员。注意:此文档不探讨zabbix分布式,调优,监控其它服务等问题。本实验有些耗时,走了点弯路,允许转载,请转载请指明链接:renzhiyuan.blog.51cto.com二、准备工作:2.1)zabbix服务安装配置(安装注意事项不探讨)2.2)配置邮件报警(微...
如何关闭zabbix web登录的保护机制?
zsx0728的博客
10-22 742
1. 防止暴力破解攻击的保护机制     为了防止暴力破解和词典攻击,如果发生连续五次尝试登陆失败Zabbix接口将暂停30秒。     在下次成功登陆后,将会在界面上显示登录尝试失败的IP地址。 2. 关闭方法 2.1 zabbix 5.0及以下版本     修改前端配置文件 defines.inc.php,如使用官网以下配置安装,配置文件路径为 /usr/share
zabbix 钉钉告警
07-23
Zabbix 是一款开源的监控工具,它可以帮助您监控各种服务器、网络设备以及应用程序的状态,并能够自动发现并跟踪网络性能及故障。钉钉告警是指将 Zabbix 的报警信息通过钉钉机器人发送出去的一种通知机制。 ### 设置钉钉告警Zabbix 中设置钉钉告警通常需要以下步骤: 1. **创建钉钉机器人**:首先,您需要在钉钉群组中创建一个机器人的账号,然后获取该机器人提供的 Webhook 地址。这是接收告警信息的关键链接。 2. **配置告警策略**:进入 Zabbix 监控界面,在“告警”模块下选择相应的告警策略,比如按照服务项或触发器配置。在告警策略中添加一条规则,指定当满足某种条件时,向钉钉机器人发送消息。 3. **集成Webhook到告警规则**:在告警策略配置界面中,找到用于通知的规则部分,点击“添加新通知”或类似选项。在新增的通知渠道中,选择“自定义”,然后输入从钉钉机器人获取的 Webhook 地址作为通知的目标。 4. **测试告警功能**:为了确保告警配置无误,您可以先进行一次测试,模拟出一种情况下的告警事件,查看是否能成功通过钉钉机器人接收到通知。 ### 使用场景 - **实时监控**:对于重要的系统或应用,可以设定即时告警,一旦状态异常,立即通过钉钉提醒相关人员。 - **日常维护**:定期的健康检查报告也可以通过钉钉共享给团队成员,以便于团队了解系统的运行状况。 - **故障处理**:针对特定的服务或应用出现问题时,快速响应,通过钉钉及时传达关键信息至相关人员,提高故障解决效率。 ### 关联问题: 1. **如何更有效地利用钉钉告警来提升团队协作效率?** - 利用钉钉群组分类管理不同类型的告警通知,便于快速定位问题责任人。 - 定义清晰的告警等级,如紧急、重要、普通等,以便优先处理高优先级告警。 2. **在Zabbix中,如何配置多台钉钉机器人为不同环境提供告警服务?** - 为每个环境创建单独的钉钉机器人账号,对应不同的Webhook地址。 - 分别在Zabbix中为每台机器或环境配置对应的钉钉告警规则,确保告警信息精确到达正确的接收者。 3. **遇到Zabbix钉钉告警失败的情况,应如何排查问题?** - 检查Zabbix发送的数据格式是否符合钉钉Webhook的要求。 - 确认钉钉机器人的活跃状态以及Webhook地址的准确性。 - 测试直接将告警信息发送到Webhook地址是否能正常接收,排除中间传输过程的问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值