Zabbix监控Linux文件是否包含关键字

admin

笺注：这是在 CentOS8编译安装Zabbix4.4.5 的基础上进行的。


以下是监控主机Zabbix server的本地文件/etc/passwd里有没有关键字zhuohua
关键字是区分英文字母大小写的！！！



[root@centos8 ~]# cat /etc/passwd |grep zhuohua
[root@centos8 ~]#


在Zabbix服务器上使用命令zabbix_get检测本地文件/etc/passwd里有没有关键字zhuohua：（没有关键字时的效果）
[root@centos8 ~]# /usr/local/zabbix/bin/zabbix_get -s 127.0.0.1 -k vfs.file.regmatch[/etc/passwd,zhuohua]
0
[root@centos8 ~]#

键值模板：
vfs.file.regmatch[file,regexp,<encoding>,<start line>,<end line>]
查找文件中的指定字符串（关键字），如果有则返回1，没有则返回0。



在主机Zabbix server中创建监控项：
自定义名称： Check_key /etc/passwd
键值： vfs.file.regmatch[/etc/passwd,zhuohua]
信息类型：  字符
更新间隔： 1m

下载 (60.26 KB)

2022-9-23 09:58

本页拖下去：

下载 (59.01 KB)

2022-9-23 09:58

给主机Zabbix server的监控项“Check_key /etc/passwd”创建触发器：（文件/etc/passwd里有关键字zhuohua就告警）

自定义名称： Key zhuohua is exit in /etc/passwd
严重性： 信息

下载 (41.04 KB)

2022-9-23 09:59

插入表达式：（监控项 Zabbix server: Check_key /etc/passwd ）

下载 (29.42 KB)

2022-9-23 09:59

自动生成的表达式：（触发器的表达式要用到监控项中的键值）
{Zabbix server:vfs.file.regmatch[/etc/passwd,zhuohua].last()}=1

下载 (21.8 KB)

2022-9-23 10:00

本页拖下去：

下载 (15.67 KB)

2022-9-23 10:00

############

添加系统用户zhuohua后，本地文件/etc/passwd的内容里就会有关键字zhuohua：
[root@centos8 ~]# useradd zhuohua
[root@centos8 ~]#
[root@centos8 ~]# cat /etc/passwd |grep zhuohua
zhuohua:x:1001:1001::/home/zhuohua:/bin/bash
[root@centos8 ~]#


在Zabbix服务器上使用命令zabbix_get检测本地文件/etc/passwd里有没有关键字zhuohua：（有关键字时的效果）
[root@centos8 ~]# /usr/local/zabbix/bin/zabbix_get -s 127.0.0.1 -k vfs.file.regmatch[/etc/passwd,zhuohua]
1
[root@centos8 ~]#

关键字是区分英文字母大小写的：
[root@centos8 ~]# /usr/local/zabbix/bin/zabbix_get -s 127.0.0.1 -k vfs.file.regmatch[/etc/passwd,Zhuohua]
0
[root@centos8 ~]#


在仪表板上可以看到如下的告警：（显示对应触发器的名称）
Key zhuohua is exit in /etc/passwd

下载 (47.11 KB)

2022-9-23 22:34

下载 (15.56 KB)

2022-9-23 22:34

笺注：只要文件中还存在匹配的关键字，这个告警就会一直存在。





######

删除系统用户zhuohua：
[root@centos8 ~]# userdel -r zhuohua
[root@centos8 ~]#
[root@centos8 ~]# cat /etc/passwd |grep zhuohua
[root@centos8 ~]#


在Zabbix服务器上使用命令zabbix_get检测本地文件/etc/passwd里有没有关键字zhuohua：（没有关键字时的效果）
[root@centos8 ~]# /usr/local/zabbix/bin/zabbix_get -s 127.0.0.1 -k vfs.file.regmatch[/etc/passwd,zhuohua]
0
[root@centos8 ~]#


在仪表板上的告警马上消失了，如下图：

下载 (40.99 KB)

2022-9-23 10:03

笺注：只要文件中还存在匹配的关键字，主机Zabbix server的触发器“Key zhuohua is exit in /etc/passwd”就会一直告警；如果无法把关键字删除，可以把此触发器禁用。





############
############

再次添加系统用户zhuohua后，本地文件/etc/passwd的内容里就又会有关键字zhuohua：
[root@centos8 ~]# adduser zhuohua
[root@centos8 ~]#
[root@centos8 ~]# cat /etc/passwd |grep zhuohua
zhuohua:x:1001:1001::/home/zhuohua:/bin/bash
[root@centos8 ~]#


在Zabbix服务器上使用命令zabbix_get检测本地文件/etc/passwd里有没有关键字zhuohua：（有关键字时的效果）
[root@centos8 ~]# /usr/local/zabbix/bin/zabbix_get -s 127.0.0.1 -k vfs.file.regmatch[/etc/passwd,zhuohua]
1
[root@centos8 ~]#


在仪表板上可以看到如下的告警：（显示对应触发器的名称）
Key zhuohua is exit in /etc/passwd

下载 (14.8 KB)

2022-9-23 22:37

注释：这是个新的告警，开始时间与前面那个不一样的。



禁用主机Zabbix server的触发器“Key zhuohua is exit in /etc/passwd”的方法：

先找到指定的触发器：

下载 (30.82 KB)

2022-9-23 10:04

在触发器中使用过滤器：

下载 (3.77 KB)

2022-9-23 10:04

搜索出正在告警的触发器：（值为“问题”）

下载 (63.18 KB)

2022-9-23 10:04

下载 (11.94 KB)

2022-9-23 10:04

下载 (19.75 KB)

2022-9-23 10:04

注释：当触发器已启用后，其状态为 已启用



禁用触发器“Key zhuohua is exit in /etc/passwd”：

下载 (12.42 KB)

2022-9-23 10:05

下载 (5.39 KB)

2022-9-23 22:38

下载 (20.96 KB)

2022-9-23 10:05

注释：当触发器被禁用后，其状态为 停用的



也可以在触发器中使用过滤器，搜索出已被禁用的触发器：（状态为“停用的”）

下载 (80.34 KB)

2022-9-23 10:06

下载 (20.96 KB)

2022-9-23 22:39

主机Zabbix server的触发器“Key zhuohua is exit in /etc/passwd”被禁用后的效果：

下载 (51.84 KB)

2022-9-23 10:06

本页拖下去：

下载 (20.7 KB)

2022-9-23 10:06

注释：其实也可以在这里禁用触发器。


笺注：被禁用后的触发器，不会在仪表板上告警。





相关文章：
Zabbix监控Windows文件是否包含关键字+拓扑图
Zabbix使用预编译Agent监控CentOS7+监控文件内容

Zabbix5.0.12_监控Linux文件是否包含关键字