键值模板:
vfs.file.cksum[file] 文件校验,unix标准算法。返回整数
本页拖下去:
注释:默认就是已启用。
模板Template OS Linux by Zabbix agent自带的触发器:
名称: /etc/passwd has been changed
严重性: 信息
表达式: {Zabbix server:vfs.file.cksum[/etc/passwd].diff()}>0
注释:触发器的表达式要用到监控项中的键值。
本页拖下去:
注释:
默认就是已启用。
默认就是允许手动关闭;
这里的“允许手动关闭”,是指允许在仪表板关闭这个问题(触发器);
######
在Zabbix服务器上使用命令zabbix_get对本地文件/etc/passwd进行文件校验:(每次文件的内容更改后,返回值都会变的;不更改就一直一样)
[root@centos8 ~]# /usr/local/zabbix/bin/zabbix_get -s 127.0.0.1 -k vfs.file.cksum[/etc/passwd]
2491050441
[root@centos8 ~]#
添加系统用户就会更改本地文件/etc/passwd的内容:
[root@centos8 ~]# useradd zhuohua
[root@centos8 ~]# tail -1 /etc/passwd
zhuohua:x:1001:1001::/home/zhuohua:/bin/bash
[root@centos8 ~]#
在Zabbix服务器上使用命令zabbix_get对本地文件/etc/passwd进行文件校验:(文件内容更改后,看到返回值变了)
[root@centos8 ~]# /usr/local/zabbix/bin/zabbix_get -s 127.0.0.1 -k vfs.file.cksum[/etc/passwd]
3834533161
[root@centos8 ~]#
在仪表板上可以看到如下的告警:(显示对应触发器的名称)
/etc/passwd has been changed
备注:这个问题的告警信息在仪表板上的持续时间会超过15分钟。
按上面触发器“/etc/passwd has been changed”的配置,可以在仪表板上手动关闭这个问题:(点击确认下面的“不”)
关闭这个问题:
本页拖下去:
在仪表板上的告警马上消失了,如下图:
############
############
自定义监控本地文件/etc/test.txt的内容有没有更改过:
[root@centos8 ~]# echo 'zhuohua' > /etc/test.txt
[root@centos8 ~]# ll !$
ll /etc/test.txt
-rw-r--r-- 1 root root 8 9月 21 08:55 /etc/test.txt
[root@centos8 ~]#
[root@centos8 ~]# zabbix_get
-bash: zabbix_get: 未找到命令
[root@centos8 ~]# find / -name zabbix_get
/root/zabbix-4.4.5/src/zabbix_get
/root/zabbix-4.4.5/src/zabbix_get/zabbix_get
/usr/local/zabbix/bin/zabbix_get
[root@centos8 ~]#
做个软链接:
[root@centos8 ~]# ln -s /usr/local/zabbix/bin/zabbix_get /usr/sbin
[root@centos8 ~]#
[root@centos8 ~]# ll /usr/sbin/zabbix_get
lrwxrwxrwx 1 root root 32 9月 21 08:56 /usr/sbin/zabbix_get -> /usr/local/zabbix/bin/zabbix_get
[root@centos8 ~]#
在Zabbix服务器上使用命令zabbix_get对本地文件/etc/test.txt进行文件校验:(每次文件的内容更改后,返回值都会变的;不更改就一直一样)
[root@centos8 ~]# zabbix_get -s 127.0.0.1 -k vfs.file.cksum[/etc/test.txt]
1771315924
[root@centos8 ~]#
[root@centos8 ~]# zabbix_get -s 127.0.0.1 -k vfs.file.cksum[/etc/test.txt]
1771315924
[root@centos8 ~]#
[root@centos8 ~]# echo 'zhuohua168' > /etc/test.txt
[root@centos8 ~]#
[root@centos8 ~]# zabbix_get -s 127.0.0.1 -k vfs.file.cksum[/etc/test.txt]
2415528430
[root@centos8 ~]#
笺注:
命令zabbix_get无法检测目录/root下的文件有没有更改过:
[root@centos8 ~]# ll /usr/local/zabbix.conf.php
-rw-r--r-- 1 root root 415 9月 21 08:59 /usr/local/zabbix.conf.php
[root@centos8 ~]#
[root@centos8 ~]# zabbix_get -s 127.0.0.1 -k vfs.file.cksum[/usr/local/zabbix.conf.php]
523213832
[root@centos8 ~]#
[root@centos8 ~]# ll /root/zabbix.conf.php
-rw-r--r-- 1 root root 415 7月 12 2020 /root/zabbix.conf.php
[root@centos8 ~]#
[root@centos8 ~]# zabbix_get -s 127.0.0.1 -k vfs.file.cksum[/root/zabbix.conf.php]
ZBX_NOTSUPPORTED: Cannot open file: [13] Permission denied
[root@centos8 ~]#
[root@centos8 ~]# chmod 777 /root/zabbix.conf.php
[root@centos8 ~]# ll /root/zabbix.conf.php
-rwxrwxrwx 1 root root 415 7月 12 2020 /root/zabbix.conf.php
[root@centos8 ~]#
[root@centos8 ~]# zabbix_get -s 127.0.0.1 -k vfs.file.cksum[/root/zabbix.conf.php]
ZBX_NOTSUPPORTED: Cannot open file: [13] Permission denied
[root@centos8 ~]#
创建监控项:(监控本地文件/etc/test.txt的内容有没有更改过)
自定义名称: Checksum of /etc/test.txt
键值: vfs.file.cksum[/etc/test.txt]
信息类型: 字符
更新间隔: 2m (在仪表板告警的持续时间;这是2分钟)
备注:其他地方保持默认,点击页底“添加”按钮。
在监控项中使用过滤器:
根据名称中的关键字搜索监控项:
新的监控项添加成功后,要看其状态是否为“已启用”:
给监控项“Checksum of /etc/test.txt”创建触发器:
自定义名称: /etc/test.txt has been changed
严重性: 警告
表达式: {Zabbix server:vfs.file.cksum[/etc/test.txt].diff()}>0
注释:触发器的表达式要用到监控项中的键值。
本页拖下去:
在触发器中使用过滤器:
根据名称中的关键字搜索触发器:
新的触发器添加成功后,要看其状态是否为“已启用”:
######
在Zabbix服务器上使用命令zabbix_get对本地文件/etc/test.txt进行文件校验:(文件内容更改前)
[root@centos8 ~]# zabbix_get -s 127.0.0.1 -k vfs.file.cksum[/etc/test.txt]
2415528430
[root@centos8 ~]#
[root@centos8 ~]# echo 'zhuohua_new' > /etc/test.txt
[root@centos8 ~]#
在Zabbix服务器上使用命令zabbix_get对本地文件/etc/test.txt进行文件校验:(文件内容更改后)
[root@centos8 ~]# zabbix_get -s 127.0.0.1 -k vfs.file.cksum[/etc/test.txt]
630230514
[root@centos8 ~]#
在仪表板上可以看到如下的告警:(显示对应触发器的名称)
/etc/test.txt has been changed
备注:
按上面监控项“Checksum of /etc/test.txt”的配置,这个问题的告警信息会在仪表板上持续2分钟后,自动消失。
按上面触发器“/etc/test.txt has been changed”的配置,可以在仪表板上手动关闭这个问题。
相关文章:
Zabbix监控Windows文件是否更改过
Zabbix5.0.12_监控Linux文件是否更改过
图片附件: 图片1.png (2022-9-21 10:25, 69.81 KB) / 下载次数 52
图片附件: 图片2.png (2022-9-21 10:25, 72.85 KB) / 下载次数 55
图片附件: 图片3.png (2022-9-21 10:26, 64.84 KB) / 下载次数 37
图片附件: 图片4.png (2022-9-21 10:27, 22.75 KB) / 下载次数 41
图片附件: 图片6.png (2022-9-21 10:29, 43.22 KB) / 下载次数 49
图片附件: 图片7.png (2022-9-21 10:29, 16.93 KB) / 下载次数 47
图片附件: 图片8.png (2022-9-21 10:30, 6.63 KB) / 下载次数 49
图片附件: 图片9.png (2022-9-21 10:30, 21.76 KB) / 下载次数 46
图片附件: 图片10.png (2022-9-21 10:30, 21.41 KB) / 下载次数 52
图片附件: 图片11.png (2022-9-21 10:31, 40.98 KB) / 下载次数 55
图片附件: 图片12.png (2022-9-21 10:34, 23.91 KB) / 下载次数 47
图片附件: 图片13.png (2022-9-21 10:35, 3.58 KB) / 下载次数 50
图片附件: 图片14.png (2022-9-21 10:35, 17.96 KB) / 下载次数 47
图片附件: 图片15.png (2022-9-21 10:35, 39.42 KB) / 下载次数 50
图片附件: 图片16.png (2022-9-21 10:36, 40.77 KB) / 下载次数 56
图片附件: 图片17.png (2022-9-21 10:36, 58.64 KB) / 下载次数 47
图片附件: 图片18.png (2022-9-21 10:36, 20.55 KB) / 下载次数 56
图片附件: 图片19.png (2022-9-21 10:37, 3.77 KB) / 下载次数 48
图片附件: 图片20.png (2022-9-21 10:37, 62.17 KB) / 下载次数 48
图片附件: 图片21.png (2022-9-21 10:37, 68.98 KB) / 下载次数 49
图片附件: 图片22.png (2022-9-21 10:38, 38.45 KB) / 下载次数 53
图片附件: 图片23.png (2022-9-21 10:38, 46 KB) / 下载次数 58
图片附件: 图片24.png (2022-9-21 10:39, 15.35 KB) / 下载次数 58
| 欢迎光临 blog.zhuohua.store (http://blog.zhuohua.store/) | Powered by Discuz! 7.2 |