Я хотел бы создать в Zabbix триггер, который будет предупреждать меня, когда type=AVC
ошибка появляется на сервере CentOS 6 /var/log/audit/audit.log
файл.
Я уже пробовал создать простую очистку журнала. Например.:
log[/var/log/audit/audit.log,type=AVC,"UTF-8",100]
Однако это не работает. Я считаю, что это связано с /var/log/audit/audit.log
и его родительская папка с использованием следующих разрешений:
drwxr-x---. 2 root root 4096 Apr 20 04:29 .
drwxr-xr-x. 13 root root 4096 Apr 14 12:07 ..
-rw-------. 1 root root 5948185 Apr 20 15:27 audit.log
-r--------. 1 root root 6291566 Apr 20 04:29 audit.log.1
-r--------. 1 root root 6291704 Apr 19 16:56 audit.log.2
-r--------. 1 root root 6291499 Apr 19 05:22 audit.log.3
-r--------. 1 root root 6291552 Apr 18 17:48 audit.log.4
Я бы предпочел не менять разрешения по соображениям безопасности.
Кто-нибудь делал мониторинг журналов /var/log/audit/audit.log
используя Zabbix? И если да, то как?
Это не работает, потому что вам нужно запустить агент zabbix от имени пользователя root, вы должны разрешить агенту zabbix доступ к этому файлу. После вы можете контролировать файл как обычно.
Вот ваш шаблон для SELinux: https://github.com/GioMac/zabbix/blob/master/templates/Template_SELinux.xml
Вы также можете создать новый файл журнала на каждом хосте, который будет получать копии соответствующих сообщений, которые вы хотите инициировать. Затем вы просто создаете задание для копирования сообщений с действиями из других журналов в новый единый журнал.
Я стараюсь держаться подальше от почты, поскольку это добавляет другие проблемы и может помешать выходу вашего предупреждения.
Вы можете использовать zabbix для мониторинг файла журнала смотреть /var/log/audit/audit.log
для ожидаемого регулярного выражения (AVC
возможно) и соответственно установите триггер.