Назад | Перейти на главную страницу

Zabbix Trigger для ошибок SELinux (type = AVC)

Я хотел бы создать в Zabbix триггер, который будет предупреждать меня, когда type=AVC ошибка появляется на сервере CentOS 6 /var/log/audit/audit.log файл.

Я уже пробовал создать простую очистку журнала. Например.:

log[/var/log/audit/audit.log,type=AVC,"UTF-8",100]

Однако это не работает. Я считаю, что это связано с /var/log/audit/audit.log и его родительская папка с использованием следующих разрешений:

drwxr-x---.  2 root root    4096 Apr 20 04:29 .
drwxr-xr-x. 13 root root    4096 Apr 14 12:07 ..
-rw-------.  1 root root 5948185 Apr 20 15:27 audit.log
-r--------.  1 root root 6291566 Apr 20 04:29 audit.log.1
-r--------.  1 root root 6291704 Apr 19 16:56 audit.log.2
-r--------.  1 root root 6291499 Apr 19 05:22 audit.log.3
-r--------.  1 root root 6291552 Apr 18 17:48 audit.log.4

Я бы предпочел не менять разрешения по соображениям безопасности.

Кто-нибудь делал мониторинг журналов /var/log/audit/audit.log используя Zabbix? И если да, то как?

Это не работает, потому что вам нужно запустить агент zabbix от имени пользователя root, вы должны разрешить агенту zabbix доступ к этому файлу. После вы можете контролировать файл как обычно.

Вот ваш шаблон для SELinux: https://github.com/GioMac/zabbix/blob/master/templates/Template_SELinux.xml

Вы также можете создать новый файл журнала на каждом хосте, который будет получать копии соответствующих сообщений, которые вы хотите инициировать. Затем вы просто создаете задание для копирования сообщений с действиями из других журналов в новый единый журнал.

Я стараюсь держаться подальше от почты, поскольку это добавляет другие проблемы и может помешать выходу вашего предупреждения.

Вы можете использовать zabbix для мониторинг файла журнала смотреть /var/log/audit/audit.log для ожидаемого регулярного выражения (AVC возможно) и соответственно установите триггер.