环境:
操作系统:centos 6.8 ,zabbix软件版本:zabbix 3.0.1
前提条件:zabbix客户端已经配置了主动模式,如何配置主动模式,请参考此文
监控日志keys
首先要了解key log[ file ,<regexp>,<encoding>,<maxlines>,<mode>,<output>] file:文件名,写绝对路径 regexp:要匹配内容的正则表达式,或者直接写你要检索的内容也可以,例如我想检索带ERROR关键词的记录 encoding:编码相关,留空即可 maxlines:一次性最多提交多少行,这个参数覆盖配置文件 zabbxi_agentd.conf中的’MaxLinesPerSecond’,我们也可以留空 mode:默认是all,也可以是skip,skip会跳过老数据 output:输出给zabbix server的数据。可以是1、2一直9,1表示第一个正则表达式匹配出得内容,2表示第二个正则表达式匹配错的内容。
备注:推荐使用第二个参数,指定监控的具体内容来监控,如果不加指定内容监控,就会监控所有信息,这样会给服务器带来很大负担。
1.监控系统安全登录日志
1.1、访问日志配置权限(被控端)
安全登录日志一般放在/var/log/secure中,接下来我们就来操作这个日志。
[root@iZ2ze275oaub8pm0zy4g6eZ ~]# id zabbix ##安装完zabbix自己添加的用户 uid=498(zabbix) gid=498(zabbix) groups=498(zabbix) [root@iZ2ze275oaub8pm0zy4g6eZ ~]# chown zabbix.root /var/lo local/ lock/ log/ [root@iZ2ze275oaub8pm0zy4g6eZ ~]# chown zabbix.root /var/log/secure [root@iZ2ze275oaub8pm0zy4g6eZ ~]# ll /var/log/secure -rw------- 1 zabbix root 2888 Mar 20 17:19 /var/log/secure
1.2、zabbix web页面配置
1.2.1、创建应用集
【配置】-【主机】,选择已经配置好的主机(主动模式监控),点击应用集。
1.2.2、创建监控项
说明:
1.类型必须选择 zabbix_agent(active),因为数据是zabbix被控端主动传给服务器端的。
2.日志时间格式:yyMMddphh:mm:ss y表示年,M表示月,d表示日,p和:表示占位符,h表示小时,m表示分钟,s表示秒。
经过上面的配置,如果我们在客户端上测试登录,我们就可以看到客户端上的新登录的用户的日志。
1.2.3、设置触发器
1.2.4测试
尝试登录记录日志的这台zabbix客户端,故意输错密码时,就会触发刚设定的触发器,出现下面的报警。
同样也可以监控mysql ,Redis,nginx等访问日志。