Q&A
一応、Zabbixもバージョンによりできることが変わってくるのでバージョンも明記した方が良いです。
Zabbixでサービスを監視しています。
特定のフォルダ配下の変更を検知するトリガーを設定することは可能でしょうか?
具体的には、/etc/配下のフォルダに変更があった場合に、通知が来るように設定をしたいです。
デフォルトで/etc/passwdの変更を検知することはできるみたいなので、
これを利用すれば、特定のファイルについては監視ができそうですが、
何分ファイル数が多く、全てを監視するのが手間だと思い質問させていただきました。
vfs.file.cksum[/etc/passwd]
回答2件
0
ベストアンサー
Zabbix でディレクトリ以下のファイルを自動で監視するアイテムは用意されていないようです。
監視対象ファイルが決まっているのであれば、API や XMLインポートでアイテムを登録するなど、省力化できると思います。
監視対象が /etc/ 以下の全てのファイルであれば、custom Low-level discovery ルールを自作するとできるかもしれません。
find /etc/ -type f でファイル一覧を作成し、それぞれに vfs.file.cksum[] とトリガーを登録するような感じで。
(注意)
vfs.file.cksum[] は zabbix ユーザー権限(Zabbix Agent 実行ユーザー権限)でファイルを読みますので、root ユーザーしか読めないファイルは監視することができません。
Zabbix 以外で監視する方法(1)
tripwire や aide など、ファイル改竄検知ソフトウェアが利用できると思います。
cron で 1日1回など定期的に実行し、結果をメールやファイルに出力します。
この出力はレポートのような形式だったと思うので、そのまま Zabbix と連携させるのは難しいですが、シェルスクリプトなどでレポートから文字列を抽出し、zabbix_sender で送るような方法が考えられます。
Zabbix 以外で監視する方法(2)
また、チェックサムでの判定にこだわらなければ、システムコールを検知する方法もあります。
(audit を使う例) # auditctl -w /etc/ -p wa /etc/ 以下のファイル、ディレクトリについて、w (write), a (attribute change)を検知し、 /var/log/audit/audit.log に出力する。
(inotify を使う例) # inotifywait -m -e create -e modify -e delete -e attrib -r /etc --format '%T %e %w%f' --timefmt '%F %T' -o <logfile> /etc/ 以下のファイル、ディレクトリについて、create, modity, delete, attrib イベントを検知し、 ログファイルに出力する。
これらのログファイルを Zabbix でログ監視すればいいと思います。
ただし、/etc/ 以下に作成される一時ファイル(ロックファイルなど)も監視対象となってしまいますし、特に audit は出力が複数行になるなど多いので、検知漏れがなく、かつ、不要なものは拾わないよう、正規表現などでフィルターした方がよさそうです。
投稿2016/10/09 15:31
編集2016/10/10 10:59
総合スコア12146
0
確認はできていませんが、ディレクトリで指定できる可能性があります。
また、2.2までしかサポートしていないようですが、
別のアイテムのvfs.file.timeではディレクトリの更新日時を監視することができます。
(こちらでファイル指定ですがディレクトリ指定が可能との情報がありました。そのためvfs.file.cksumでディレクトリ指定が可能ではないかということにつながっています。)
※すみません。cksumというコマンドはディレクトリには対応していませんでした。
ということでvfs.file.cksumではディレクトリの監視はできません。
投稿2016/10/09 13:39
編集2016/10/09 14:05総合スコア702
あなたの回答
tips
プレビュー
