zabbix监控日志的实现

最新推荐文章于 2022-01-17 14:10:25 发布
最新推荐文章于 2022-01-17 14:10:25 发布
阅读量113 收藏
点赞数
文章标签: 运维 数据库
原文链接:http://www.cnblogs.com/reid21/articles/8569129.html
版权

描述:基于生产中需要及时掌握重要应用的日志情况,可以使用zabbix进行监控通知

zabbix监控的配置实现

1. 配置zabbix_agentd.conf(由于之前的配置这里是主动和被动混合使用)

[root@zabbix ~]# egrep -v "#|^$" /etc/zabbix/zabbix_agentd.conf 
PidFile=/var/run/zabbix/zabbix_agentd.pid
LogFile=/var/log/zabbix/zabbix_agentd.log
LogFileSize=0
Server=11.11.22.235                    ##被动模式,客户端允许这个ip来采集
ServerActive=127.0.0.1,11.11.22.235    ##主动模式的ip,客户端主动发数据到这个地址
Hostname=zabbix                        ##要与hosts中的hostname保持一致,否则无法收集
Include=/etc/zabbix/zabbix_agentd.d/*.conf
注:agent是以"Hostname"为参数向server发送"active checks"请求,server收到请求,到数据库里找到相同的名称的主机后,向agent返回active类型的监控项列表。agent根据这个item list进行监控,收集数据,并主动把数据推送给server。

2.设置日志文件的权限

[root@zabbix ~]# setfacl -m u:zabbix:r-- /var/log/secure (建议使用)

或者
[root@zabbix ~]# chown zabbix.root /var/log/secure

注: /var/log/secure的权限一般是600,zabbix agent对此文件没有权限。zabbix用户是agent的启动用户,要设置zabbix用户对/var/log/secure有可读权限,这样agent才能监控。

3.修改logrotate配置并重启agent

[root@zabbix ~]# cat /etc/logrotate.d/syslog
/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
{
    missingok
    sharedscripts
    postrotate
	/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
	/usr/bin/setfacl -m u:zabbix:r-- /var/log/secure  ###
    endscript
}

重启
[root@zabbix ~]# systemctl restart zabbix-agent

4.在zabbix的web管理中配置item(注意: Type - 选择Zabbix agent (active))

 

 5. 配置trigger

expression:
{zabbix:log[/var/log/secure,"Failed password"].str(Failed)}=1 and {zabbix:log[/var/log/secure,"Failed password"].nodata(60)}=0

   表达式的含义为:如果用户登录失败了,item返回数据中会包含"Failed",则触发器被触发,60秒内没有新数据的话,触发器恢复。这样就保证了触发器不会一直在触发状态。

    下面把表达式拆解分析:

    A:{zabbix:log[/var/log/secure,"Failed password"].str(Failed)}=1,表示如果字符串中包含"Failed"则表达式为真。

    B:{zabbix:log[/var/log/secure,"Failed password"].nodata(60)}=0,表示60秒内有数据产生则表达式为真,即60秒内如果没有新数据了,则表达式为假。

    逻辑为A & B,表示同时符合A、B两个条件(同时为真),触发器才会触发。

6.模拟SSH连接失败

#SSH客户端
[root@web ~]# ssh 11.11.22.235
root@11.11.22.235's password: 
Permission denied, please try again.
root@11.11.22.235's password: 
sadfas
Permission denied, please try again.
root@11.11.22.235's password: 
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).

##zabbix server端(日志监控端)
[root@zabbix ~]# tail -f /var/log/secure
Mar 14 17:24:30 zabbix sshd[888]: Failed password for root from 11.11.22.235 port 56952 ssh2
Mar 14 17:24:31 zabbix sshd[888]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Mar 14 17:24:33 zabbix sshd[888]: Failed password for root from 11.11.22.235 port 56952 ssh2
Mar 14 17:24:33 zabbix sshd[888]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Mar 14 17:24:35 zabbix sshd[888]: Failed password for root from 11.11.22.235 port 56952 ssh2
Mar 14 17:24:35 zabbix sshd[888]: Connection closed by 11.11.22.235 port 56952 [preauth]
Mar 14 17:24:35 zabbix sshd[888]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=web  user=root

7.检查最近的数据

 

 

转载于:https://www.cnblogs.com/reid21/articles/8569129.html

weixin_30699741
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【SSH远程登录】
Randolf_A的博客
06-06 607
ssh远程连接云服务器 主要包括: ssh的安装及修改配置文件 配置防火墙 1.远程连接命令 ssh root@192.168.225.25 ssh -l root 192.168.225.25 2.ssh安装 # 安装ssh apt-get install openssh-server yum install openssh-server # 安装firewalld yum install firewalld apt-get install firewalld # 安装v
PAM 安全框架导致ssh无法登陆的排查方法
weixin_43818597的博客
03-10 1万+
PAM安全框架导致ssh无法登陆的排查方法 【什么是PAM】 不要问我什么是PAM,网上搜去。 Linux系统中通过pam框架的设置可以提高服务器的安全性,使服务器的登陆访问控制在有限的范围内,降低服务器别攻击登陆的风险。 Linux系统中和ssh相关的pam配置文件主要有三个 文件 功能说明 /etc/pam.d/logi...
转:服务器被黑给我上了一课
燕雀笔记博
05-26 691
 http://www.jianshu.com/p/97b9dc47b88c   当你作为一个独立开发者的时候总要面临这样那样的问题,以前认为的小概率事件也总是某个时间点蜂拥而至考验你的耐心,前一阵阵刚刚经历了一次木马惊魂 (参见文章猎豹清理大师值得我们信任么? ),这次又遇到了服务器被黑。 部署服务器及一般的服务配置管理对于一个写代码的人自然不在话下,但是相对专业的运维人员程序员确少的...
linux只设置时间戳,linux – 如何让sec正确忽略时间戳
weixin_26782929的博客
05-02 129
我有一个像这样设置的规则;在/etc/sec/rules.d我有;type=SingleWithSuppressptype=regexppattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)des...
防止破解SSH密码,保护陪玩平台源码后端安全
云豹网络科技
01-17 3059
对于陪玩平台源码来说,服务器是系统部署的重要载体,系统运营产生的数据、系统代码等最终都是存放在服务器上,所以服务器安全相当重要。当陪玩平台源码运营出现问题或上线新功能时,会通过远程连接服务器进行操作,为了保证登录安全,就需要输入SSH密码。 SSH并不是绝对安全的,如果是恶意登录的IP,在反复操作的过程中,有可能会破解SSH密码,保证SSH密码安全,就成为陪玩平台源码提高服务器安全的必要一部分。 陪玩平台源码可以用DenyHosts阻止试图猜测SSH登录口令的操作,DenyHosts会分析/var/log/
Python脚本实现Zabbix多行日志监控过程解析
09-16
这样的Python脚本实现Zabbix日志监控的自定义扩展,使得监控更加灵活和精准,可以有效地避免重复告警,同时支持复杂的关键字匹配需求。这对于处理如Oracle数据库等产生复杂日志的应用场景特别有用。通过这种方式,...
使用Zabbix监控NAS目录状态
03-28
在企业的数据存储和共享中,网络附加存储(NAS)扮演着至关重要的角色。为了确保NAS设备的稳定运行和数据的完整性,对其进行实时监控是必...本文将介绍如何使用Zabbix监控NAS目录状态,以确保及时发现并解决潜在问题。
zabbix监控的白皮书
05-22
总的来说,Zabbix监控白皮书是IT管理员和运维人员的宝贵资源,它提供了全面的指导,帮助他们充分利用Zabbix的功能,确保企业IT环境的稳定运行和高效监控。无论是新手还是经验丰富的Zabbix用户,都能从中受益,了解...
Zabbix监控Linux主机设置方法
09-15
总的来说,Zabbix监控Linux主机涉及的主要步骤包括:防火墙配置、SELinux关闭、Zabbix Agent的安装与配置,以及在Zabbix服务端的主机添加和监控项配置。通过这些步骤,你可以实现对Linux主机的全面监控,从而提高...
zabbix 监控 tomcat
01-29
监控 Tomcat 时,Zabbix 可以提供实时的性能监控日志监控、状态监控等功能,帮助管理员快速发现问题并采取相应的措施。 安装和配置 Zabbix 在开始监控 Tomcat 之前,需要安装和配置 Zabbix。首先,需要安装 ...
Linux服务器被黑客攻击的检测.pdf
09-06
Linux服务器被黑客攻击的检测.pdf
linux关闭时间戳是否有影响,linux – 如何让sec正确忽略时间戳
weixin_42510278的博客
05-10 115
我有一个像这样设置的规则;在/etc/sec/rules.d我有;type=SingleWithSuppressptype=regexppattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)des...
解决 Xshell 连接阿里云日本服务器失败的问题(FileZilla 正常连接)
qq_32029605的博客
06-10 1413
排查步骤 登录阿里云后台,使用账号密码远程连接登录服务器 使用systemctl status sshd查看 sshd 服务的状态 ● sshd.service - OpenSSH server daemon Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled) Active: active (running) since Fri 2020-06-05 18:06:55 C
Linux使用PAM锁定多次登陆失败的用户(含重置错误次数)
热门推荐
新路的专栏
05-22 5万+
修改如下文件 /etc/pam.d/sshd    (远程ssh) /etc/pam.d/login    (终端) 在第一行下即#%PAM-1.0的下面添加: auth    required    pam_tally2.so    deny=3    unlock_time=600 even_deny_root root_unlock_time=1200 各参数解释: ev
zabbix 应用日志监控报警
皓阳当空-博客
08-21 3118
zabbix 应用日志监控报警 zabbix监控日志文件,比如zabbix-agent日志/var/log/zabbix-agent/zabbix_agentd.log等。当一个日志文件包含特定的字符或者字符模式时,zabbix向用户发送报警信息。 新建模板或选择已有模板 我这里选择已有的模板Template OS Linux 新建应用集或选择已有应用集 我这里选择模板Template OS Linux下的已有应用集Filesystems 新建监控项 键值为要监控日志文件,创建监控项到应用集File
zabbix 时间错误_使用Zabbix监控系统日志
weixin_39758494的博客
12-12 687
在Linux系统上,日志文件通常可以分为四类:System Logs(系统日志)Event Logs(事件日志)Application Logs(应用程序日志)Service Logs(服务日志)一、为什么要监控日志?Linux为了跟踪和监视系统(内核)各个组件及应用程序运行状态而将产生的相关事件存储到日志文件中,当系统或者应用程序出现问题时,系统管理员能根据日志定位到问题。而通过监控Linux的...
zabbix远程mysql数据库_zabbix监控数据库
weixin_33417371的博客
02-22 458
1. 在zabbix-agent端添加键值vim /etc/zabbix/zabbix_agentd.d/mystat.confUserParameter=mystat[*],/server/scripts/chk_mysql.sh '$1'  # 键值是mystat[]2. 服务端命令行测试键值[root@zabbix ~]# zabbix_get -s 172.16.1.51 -k mysta...
记一次zabbix监控log日志,权限被拒绝的问题
Vv的博客
06-22 4133
思路。一般都是文件夹权限问题,或者是agentd的配置文件HostName和ServerActive没写对HostName填 zabbix监控页面(创建主机填的主机名)ServerActive填 zabbix_server主机IP:10051————————————————————————————————setfacl -m u:zabbix:rwx 监控的文件(赋予权限)chmod 777 监控...
zabbix3.4.7主动模式监控日志(多关键字)
weixin_34153893的博客
08-23 686
日志监控原理 1、Zabbix Server和Zabbix Agent会追踪日志文件的大小和最后修改时间,并且分别记录在字节计数器和最新的时间计数器中。 2、Agent会从上次读取日志的地方开始读取日志。 3、字节计数器和最新时间计数器的数据会被记录在Zabbix数据库,并且发送给Agent,这样能够保证Agent从上次停止的地方开始读取日志。 4...
zabbix监控部署
最新发布
03-29
下面是Zabbix监控部署的一般步骤: 1. 安装Zabbix服务器:首先需要在一台服务器上安装Zabbix服务器软件。可以根据操作系统的不同,选择适合的安装方式,例如使用包管理工具安装或者手动编译安装。 2. 配置数据库:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值