ZabbixAgentによるアクティブチェックについて

前提・実現したいこと

IBMCloudでzabbixAgentの設定を行っています。
Server→Agentのパッシブチェックによるport監視等は成功しました。
しかし、Agent→Serverのアクティブチェックによるログ監視がうまくいきません。

####前提
zabbixServer：192.168.0.1（プライベートIP）
ZabbixAgent：192.168.0.2（プライベートIP）
アクティブチェックで使用するport:11051
※同一VPCに所属する仮想インスタンスです

####試したこと
①ping、port接続確認
ZabbixAgentから
・ping 192.168.0.1
→成功
・telnet 192.168.0.1 11051
→タイムアウト
・telnet 192.168.0.1 80
→タイムアウト

同一VPCに属する別のサーバー(192.168.0.3)から
・ping 192.168.0.1
→成功
・telnet 192.168.0.1 11051
→成功
・telnet 192.168.0.1 80
→成功

②Zabbixサーバー側のlisten確認
$ss -ant4 |grep 11051
LISTEN 0 128 *:11051 :

上記の結果から、ネットワークレベルでZabbixAgent側の設定に
問題があると考えていますが、原因がつかめていません。
アドバイスいただけないでしょうか。

補足情報（FW/ツールのバージョンなど）

Zabbix Server側
IPアドレス：192.168.0.1
Zabbix ver:5.0
OS:CentOS7
Zabbix Agent側
IPアドレス：192.168.0.2
Zabbix Agent ver:5.0
OS:Windows Server2016

yukky1201

2021/07/02 06:47

>アクティブチェックで使用するport:11051 デフォルト10051ですが、11051もopenさせているということでしょうか？ (別なサーバからはデフォルトの10051ポートで確認していますね。) firewalldで11051/tcpは解放していますか？

Mines

2021/07/02 09:24 編集

ご確認ありがとうございます！ >デフォルト10051ですが、11051もopenさせているということでしょうか？ 10051を他で利用しているため、11051を代わりに設定しており、openさせております。 >firewalldで11051/tcpは解放していますか？はい、firewalldは切っているので制限はされていないはずです。 >(別なサーバからはデフォルトの10051ポートで確認していますね。) すみません、こちら誤記です。元の質問文を修正しました。なお、Agent導入直後は ZabbixAgentからのtelnet 192.168.0.1 11051は成功。アクティブチェックも成功しております。(アクティブチェックによるログ監視の成功を確認。) しかし、設定後しばらくすると通らなくなってしまいます。何か心当たり等ありましたらよろしくお願いします。

yukky1201

2021/07/05 02:00

Zabbix Agent(192.168.0.2)がWindows Server2016ですが、こちらもWindowsFirewallやセキュリティソフトが導入されていたりしますでしょうか。また切り分けとしてAgent側にてtelnet実行時に、Server側でtcpdump等でパケットが到達しているのか確認するのも手段のひとつです

Mines

2021/07/05 07:09 編集

>また切り分けとしてAgent側にてtelnet実行時に、Server側でtcpdump等でパケットが到達しているのか確認するのも手段のひとつですありがとうございます、勉強になります。こちら試したところ、以下の結果となりました。 ◆実行コマンド Zabbix server　　：tcpdump -n |grep 11051 Zabbix Agent　　：telnet 192.168.0.1 11051 別のサーバーから　：telnet 192.168.0.1 11051 ◆実行結果 ①ZabbixAgentから 05:45:21.199158 IP 192.168.0.2.49828 > 192.168.0.1.11051: Flags [SEW], seq 3331616806, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 05:45:24.203575 IP 192.168.0.2.49828 > 192.168.0.1.11051: Flags [SEW], seq 3331616806, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 05:45:30.203689 IP 192.168.0.2.49828 > 192.168.0.1.11051: Flags [S], seq 3331616806, win 8192, options [mss 1460,nop,nop,sackOK], length 0 ②同一VPCに属する別のサーバー(192.168.0.3)から 05:44:42.790611 IP 192.168.0.3.49949 > 192.168.0.1.11051: Flags [SEW], seq 1496749138, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0 05:44:42.790640 IP 192.168.0.1.11051 > 192.168.0.3.49949: Flags [S.], seq 2129056096, ack 1496749139, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0 05:44:42.793670 IP 192.168.0.3.49949 > 192.168.0.1.11051: Flags [.], ack 1, win 8212, length 0 05:44:46.793834 IP 192.168.0.1.11051 > 192.168.0.3.49949: Flags [F.], seq 1, ack 1, win 229, length 0 05:44:46.794166 IP 192.168.0.3.49949 > 192.168.0.1.11051: Flags [.], ack 2, win 8212, length 0 05:44:46.794559 IP 192.168.0.3.49949 > 192.168.0.1.11051: Flags [F.], seq 1, ack 2, win 8212, length 0 05:44:46.794571 IP 192.168.0.1.11051 > 192.168.0.3.49949: Flags [.], ack 2, win 229, length 0 ①、②ともにserver側に11051が到達しておりますが、①Agentからの送信に関しては戻りが返せていないように見えます。Server側の送信、Agent側の受信設定について確認を行ってみます。 >Zabbix Agent(192.168.0.2)がWindows Server2016ですが、こちらもWindowsFirewallやセキュリティソフトが導入されていたりしますでしょうか。 WindowsFirewallが起動しています。受信の許可設定を追加した程度なので、戻りのパケットは到達する認識ですが、設定を再確認してみます。また、後出しの情報で申し訳ないのですが、ZabbixAgentからのアクティブチェックは、Agent導入初日は成功しており、翌日から接続できない状態となっています。毎日夜にサーバー(Server側、Agent側両方)を落としているため、再起動時に何かしらの設定が反映された？結果繋がらなくなったのではないかと考えています。お手数おかけしておりますが、気になる点があれば教えてください。よろしくお願いします。

yukky1201

2021/07/05 09:59

ネットワークとしては到達性があるようですのでZabbixの設定でしょうか。 Zabbixとなると詳しくないのですが、Server、Agentそれぞれ設定ファイルがあったはずですので確認してください。

Mines

2021/07/07 10:53 編集

ご回答ありがとうございます。設定ファイルの見直しを行っておりましたが、いまだ解決に至っておりません。参考サイトによると、パッシブチェックができていてアクティブチェックができていない場合、管理画面とzabbix_agent.confのホスト名が不一致である場合が考えられるとのことですが、ホスト名は一致しており、他に思い当たる点がない状態です…。（試しにホスト名を変更してみたところ、host not foundのエラーが出力されましたので、現状ホスト名は一致していると思われます。） ◆ zabbix_server.conf ListenPort=11051 SourceIP=192.168.0.1 ListenIP=192.168.0.1 StatsAllowedIP=0.0.0.0/0　 ※試行錯誤として追加しましたが、StatsAllowedIPは本事象に影響しない考えです。 ◆ zabbix_agentd.conf SourceIP=192.168.0.2 Server=192.168.0.1 ListenPort=11050 ListenIP=192.168.0.2 ServerActive=192.168.0.1:11051 Hostname=host01 ◆ zabbix_agentd.log 1040:20210707:191050.994 Starting Zabbix Agent [windows-server-for-webui-tmp2]. Zabbix 5.0.12 (revision c60195b3f9). 1040:20210707:191051.000 **** Enabled features **** 1040:20210707:191051.002 IPv6 support: YES 1040:20210707:191051.003 TLS support: NO 1040:20210707:191051.004 ************************** 1040:20210707:191051.005 using configuration file: c:\zabbix_agent\conf\zabbix_agentd.conf 1040:20210707:191051.979 agent #0 started [main process] 3804:20210707:191051.980 agent #1 started [collector] 1948:20210707:191051.981 agent #2 started [listener #1] 3356:20210707:191051.982 agent #4 started [listener #3] 4868:20210707:191051.983 agent #3 started [listener #2] 4764:20210707:191051.984 agent #5 started [active checks #1] 4764:20210707:191054.980 active check configuration update from [192.168.0.1:11051] started to fail (cannot connect to [[192.168.0.1]:11051]: (null)) ◆ 参考サイト ①https://ike-dai.hatenablog.com/entry/20100923/1285217157 ②https://mseeeen.msen.jp/check-point-when-zabbix-active-check-fails/ ③https://www.bigbang.mydns.jp/zabbix-x.htm#ActiveCheck ◆対応参考サイト①、②を見てzabbix_server.conf、zabbix_agentd.confにSourceIP、ListenIPを追加。参考サイト③を見て設定画面とzabbix_agentd.confのHostnameの一致を確認 ◆その他最初の質問文に記載した zabbixAgentからのtelnet 192.168.0.1 80 がタイムアウトとなる事象ですが、ZabbixServerサービス停止中のみ解消されました。サービスを落としているため確認できませんが、telnet 11051のタイムアウトも同様と思われます。戻りパケットを返さないのはZabbixServerサービスが影響しているようですが原因はつかめておりません…。気づいた点があればお力添え頂ければと思います。よろしくお願いします。