返回列表 发帖

Zabbix监控Linux文件是否包含关键字

笺注:这是在 CentOS8编译安装Zabbix4.4.5 的基础上进行的。


以下是监控主机Zabbix server的本地文件/etc/passwd里有没有关键字zhuohua
关键字是区分英文字母大小写的!!!



[root@centos8 ~]# cat /etc/passwd |grep zhuohua
[root@centos8 ~]#


在Zabbix服务器上使用命令zabbix_get检测本地文件/etc/passwd里有没有关键字zhuohua:(没有关键字时的效果)
[root@centos8 ~]# /usr/local/zabbix/bin/zabbix_get -s 127.0.0.1 -k vfs.file.regmatch[/etc/passwd,zhuohua]
0
[root@centos8 ~]#

键值模板:
vfs.file.regmatch[file,regexp,<encoding>,<start line>,<end line>]
查找文件中的指定字符串(关键字),如果有则返回1,没有则返回0。



在主机Zabbix server中创建监控项:
自定义名称: Check_key /etc/passwd
键值: vfs.file.regmatch[/etc/passwd,zhuohua]
信息类型:  字符
更新间隔: 1m
图片1.png
2022-9-23 09:58

本页拖下去:
图片2.png
2022-9-23 09:58




给主机Zabbix server的监控项“Check_key /etc/passwd”创建触发器:(文件/etc/passwd里有关键字zhuohua就告警)

自定义名称: Key zhuohua is exit in /etc/passwd
严重性: 信息
图片3.png
2022-9-23 09:59


插入表达式:(监控项 Zabbix server: Check_key /etc/passwd
图片4.png
2022-9-23 09:59


自动生成的表达式:(触发器的表达式要用到监控项中的键值)
{Zabbix server:vfs.file.regmatch[/etc/passwd,zhuohua].last()}=1
图片5.png
2022-9-23 10:00


本页拖下去:
图片6.png
2022-9-23 10:00




############

添加系统用户zhuohua后,本地文件/etc/passwd的内容里就会有关键字zhuohua
[root@centos8 ~]# useradd zhuohua
[root@centos8 ~]#
[root@centos8 ~]# cat /etc/passwd |grep zhuohua
zhuohua:x:1001:1001::/home/zhuohua:/bin/bash
[root@centos8 ~]#


在Zabbix服务器上使用命令zabbix_get检测本地文件/etc/passwd里有没有关键字zhuohua:(有关键字时的效果)
[root@centos8 ~]# /usr/local/zabbix/bin/zabbix_get -s 127.0.0.1 -k vfs.file.regmatch[/etc/passwd,zhuohua]
1
[root@centos8 ~]#

关键字是区分英文字母大小写的:
[root@centos8 ~]# /usr/local/zabbix/bin/zabbix_get -s 127.0.0.1 -k vfs.file.regmatch[/etc/passwd,Zhuohua]
0
[root@centos8 ~]#


在仪表板上可以看到如下的告警:(显示对应触发器的名称)
Key zhuohua is exit in /etc/passwd
图片1.png
2022-9-23 22:34


图片2.png
2022-9-23 22:34


笺注:只要文件中还存在匹配的关键字,这个告警就会一直存在。





######

删除系统用户zhuohua:
[root@centos8 ~]# userdel -r zhuohua
[root@centos8 ~]#
[root@centos8 ~]# cat /etc/passwd |grep zhuohua
[root@centos8 ~]#


在Zabbix服务器上使用命令zabbix_get检测本地文件/etc/passwd里有没有关键字zhuohua:(没有关键字时的效果)
[root@centos8 ~]# /usr/local/zabbix/bin/zabbix_get -s 127.0.0.1 -k vfs.file.regmatch[/etc/passwd,zhuohua]
0
[root@centos8 ~]#


在仪表板上的告警马上消失了,如下图:
图片9.png
2022-9-23 10:03


笺注:只要文件中还存在匹配的关键字,主机Zabbix server的触发器“Key zhuohua is exit in /etc/passwd”就会一直告警;如果无法把关键字删除,可以把此触发器禁用。





############
############

再次添加系统用户zhuohua后,本地文件/etc/passwd的内容里就又会有关键字zhuohua
[root@centos8 ~]# adduser zhuohua
[root@centos8 ~]#
[root@centos8 ~]# cat /etc/passwd |grep zhuohua
zhuohua:x:1001:1001::/home/zhuohua:/bin/bash
[root@centos8 ~]#


在Zabbix服务器上使用命令zabbix_get检测本地文件/etc/passwd里有没有关键字zhuohua:(有关键字时的效果)
[root@centos8 ~]# /usr/local/zabbix/bin/zabbix_get -s 127.0.0.1 -k vfs.file.regmatch[/etc/passwd,zhuohua]
1
[root@centos8 ~]#


在仪表板上可以看到如下的告警:(显示对应触发器的名称)
Key zhuohua is exit in /etc/passwd
图片3.png
2022-9-23 22:37

注释:这是个新的告警,开始时间与前面那个不一样的。



禁用主机Zabbix server的触发器“Key zhuohua is exit in /etc/passwd”的方法:

先找到指定的触发器:
图片10.png
2022-9-23 10:04


在触发器中使用过滤器:
图片11.png
2022-9-23 10:04


搜索出正在告警的触发器:(值为“问题”)
图片12.png
2022-9-23 10:04



图片13.png
2022-9-23 10:04


图片14.png
2022-9-23 10:04

注释:当触发器已启用后,其状态为 已启用



禁用触发器“Key zhuohua is exit in /etc/passwd”:
图片15.png
2022-9-23 10:05


图片4.png
2022-9-23 22:38


图片16.png
2022-9-23 10:05

注释:当触发器被禁用后,其状态为 停用的



也可以在触发器中使用过滤器,搜索出已被禁用的触发器:(状态为“停用的”)
图片17.png
2022-9-23 10:06


图片5.png
2022-9-23 22:39




主机Zabbix server的触发器“Key zhuohua is exit in /etc/passwd”被禁用后的效果:
图片18.png
2022-9-23 10:06

本页拖下去:
图片19.png
2022-9-23 10:06

注释:其实也可以在这里禁用触发器。


笺注:被禁用后的触发器,不会在仪表板上告警。





相关文章:
Zabbix监控Windows文件是否包含关键字+拓扑图
Zabbix使用预编译Agent监控CentOS7+监控文件内容

Zabbix5.0.12_监控Linux文件是否包含关键字

返回列表