Zabbix nos permite obtener los log's de un determinado equipo y en función de su contenido, en base a expresiones regulares, sacar alertas. Esto puede ser algo muy útil por ejemplo, para controlar el número de accesos ssh fallidos a un determinado equipo en un tiempo X predeterminado.
Incluso si avanzamos más, se podrían escalar lo dicho anteriormente a toda la red, por lo que si a un rango de red es atacada en el mismo momento por un acceso de ssh, puede ser que estén atacando a todos los equipos. Este tipo de avisos también los podremos controlar con zabbix.
Para comenzar a monitorizar los log's primero hay que asegurarse de que en la configuración del equipo agente esté correctamente configurado el nombre del equipo. El nombre que esté en zabbix_agentd.conf debe de coincidir con el nombre del equipo del zabbix-server. Esto es por que la monitorización de log's se realiza mediante check's activos, es el cliente el que envía los datos, no el servidor el que se los pide.
A continuación se crea el item, dentro del propio equipo o en una plantilla, como se prefiera. La creación del item es sencilla.
- Tipo: Agente ZABBIX (ACTIVO)
- Monitor: log["file_path","reg_expr"]
- Tipo de información: Texto
Con este monitor, el cliente nos enviará todas aquellas líneas que estén en el fichero "/var/log/auth.log" y que tengan la cadena "Invalid user".
Ahora, si lo que no interesa es obtener una alerta para este evento, simplemente creamos un nuevo trigger con la expresión:
{p41aapr2:log["/var/log/auth.log","Invalid user"].nodata(30)}=0}
Nota: Este trigger es para el item aquí creado
No hay comentarios :
Publicar un comentario