Предварительно настоятельно рекомендуется включить шифрование между сервером и агентом zabbix - Настройка шифрования с использованием Pre-shared ключей
Zabbix можно использовать для централизованного мониторинга и анализа файлов журналов с/без поддержки ротации журналов. Можно использовать оповещения для предупреждения пользователей, когда файл журнала содержит конкретные строки или шаблоны строк. (подробнее Мониторинг файлов журналов)
Для наблюдения за файлом журнала у вас должно быть:
- Работающий Zabbix агент на узле сети (Установка Zabbix Agent 5.X на ОС CentOS/Debian/Ubuntu)
- Настроенный элемент данных для мониторинга журнала
В данном примере будет рассматриваться мониторинг логирования пользователей по SSH. Необходимо предоставить доступ для чтения пользователю zabbix к файлу логов, например для ОС Centos
chgrp zabbix /var/log/secure chmod 640 /var/log/secure
для ОС Debian/Ubuntu
chgrp zabbix /var/log/auth.log chmod 640 /var/log/auth.log
В случае есть имеются ошибки в файле логов zabbix-agent для ОС Centos типа
Cannot open file "/var/log/secure": [13] Permission denied
то необходимо предоставить разрешение SELinux для агента zabbix.
Проверьте текущие настройки SELinux для агента zabbix
getsebool -a | grep zabbix
если имеются троки типа
zabbix_can_network --> off
измените настройки на on командой
setsebool -P zabbix_can_network=1
Далее необходимо настроить Узел сети на стороне Zabbix сервера. Перейдите по адресу https://monitoring.cloud24.kz, введите логин и пароль
Перейдите в Настройка - Узлы сети и выберите необходимый узел сети. Перейдите во кладку Элементы данных и нажмите на кнопку Создать элемент данных. В появившемся окне в поле Имя впишите наименование для нового Элемента данных, поле Тип выберите из выпадающего списка Zabbix агент (активный), в поле ключ впишите значение
log[/var/log/secure,"^.*sshd.*(Accepted|closed).*",,,,,]
*значение выше будет логировать удачные и не удачные попытки входа по shh
Тип информации выберите Журнал (лог). Для применения изменений нажмите Обновить.
