中文字幕理论片,69视频免费在线观看,亚洲成人app,国产1级毛片,刘涛最大尺度戏视频,欧美亚洲美女视频,2021韩国美女仙女屋vip视频

1. 安裝準(zhǔn)備

Zabbix4.0對(duì)基礎(chǔ)架構(gòu)有一定的要求，尤其是對(duì)PHP和MySQL：

2. 安裝環(huán)境

Zabbix Server運(yùn)行在CentOS上，Zabbix Agent可以運(yùn)行主流的操作系統(tǒng)上，本文檔的安裝環(huán)境為：

3. 安裝配置Zabbix Server

3.1. 安裝Zabbix Server

首先，獲取Zabbix官方的YUM源：

值得注意的是，官方的Yum源文件版本可能隨時(shí)更新，本文列出的地址如果無(wú)法下載，可以到官方的主站尋求最新的版本：http://repo.zabbix.com/zabbix/

其次，獲取epel官方的YUM源：

值得注意的是，官方的Yum源文件版本可能隨時(shí)更新，本文列出的地址如果無(wú)法下載，可以到官方的主站尋求最新的版本：http://ftp.cuhk.edu.hk/pub/linux/fedora-epel/7/x86_64/Packages/e/

shell> rpm -ivh http://ftp.cuhk.edu.hk/pub/linux/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm

然后，安裝依賴包：

shell> yum install httpd php php-mysql php-gd php-bcmath php-common php-xml php-mbstring  php-cli

Zabbix 需要的 PHP 擴(kuò)展庫(kù)：

- php-mysql：使用MySQL作為Zabbix后端數(shù)據(jù)庫(kù)所需要的組件；

- php-gd：PHP GD擴(kuò)展庫(kù)必須支持 PNG 圖像(--with-png-dir)、JPEG 圖像 (--with-jpeg-dir)和FreeType2(--with-freetype-dir)；

- php-bcmath：包含所需的bcmath；

- php-common：包含所需的ctype和php-session擴(kuò)展；

- php-xml：包含所需的libXML、xmlreader和xmlwriter擴(kuò)展。

- php-mbstring：包含所需的mbstring擴(kuò)展。

shell> yum install pcre glibc gcc livevent zlib libcurl-devel curl-devel OpenIPMI-devel libssh2 fping net-snmp-devel perl-DBI openssl-devel iksemel libxml2 ntp

Zabbix 需要的依賴包：

- pcre：為強(qiáng)制安裝的包。用來(lái)支持Perl Compatible Regular Expression（PCRE）；

- gcc：為強(qiáng)制安裝的包。即編譯器，

- glibc：為強(qiáng)制安裝的包。即libc運(yùn)行庫(kù)，其中包含了所需的Libpthread

- libevent：為強(qiáng)制安裝的包，用來(lái)支持 IPMI；

- zlib：為強(qiáng)制安裝的包。用來(lái)支持壓縮；

- libcurl-devel、curl-devel：為可選安裝包，但建議安裝。用來(lái)支持 Web 監(jiān)控；

- OpenIPMI-devel：為可選安裝包，按需安裝。用來(lái)支持IPMI監(jiān)控；

- libssh2：為可選安裝包。用來(lái)支持SSH功能；

- fping: 為可選安裝包，但建議安裝。用來(lái)支持ICMP Ping監(jiān)控；

- net-snmp-devel：為可選安裝包，按需安裝。用來(lái)支持SNMP監(jiān)控；

- iksemel：為可選安裝包，按需安裝。用來(lái)支持 Zabbix 報(bào)警媒介 Jabber；

- libxml2：為可選安裝包，按需安裝。用來(lái)支持 VMware 監(jiān)控；

- ntp：為可選安裝包，但強(qiáng)烈建議安裝。用來(lái)保持 Zabbix 精準(zhǔn)的時(shí)間。

最后，安裝Zabbix-Server。

shell> yum install zabbix-agent zabbix-server-mysql zabbix-web-mysql zabbix-get zabbix-web

Zabbix 服務(wù)端上的安裝包：

- zabbix-agent：為可選安裝包，但在 Zabbix Server 上建議安裝。Zabbix 客戶端代理程序；

- zabbix-server-mysql、zabbix-web-mysql：為強(qiáng)制安裝的包。前者用來(lái)存放采集到的數(shù)據(jù)，后來(lái)為前端所需； 

- zabbix-get：為可選安裝包，但在 Zabbix Server 上建議安裝。Zabbix 用來(lái)手動(dòng)采集數(shù)據(jù)的命令；

- zabbix-web：為可選安裝包，但在 Zabbix Server 上建議安裝。Zabbix用來(lái)監(jiān)控 Web 服務(wù)的。

- zabbix-java-gateway：為可選安裝包，按需安裝。Zabbix 的 JAVA 采集服務(wù)端，用于 JMX 的監(jiān)控方式。

Zabbix 客戶端上的安裝包：

- zabbix-agent：為強(qiáng)制安裝包。Zabbix 客戶端代理程序；

- zabbix-sender：為可選安裝包，但強(qiáng)烈建議安裝。Zabbix agent 向 Zabbix server 手動(dòng)發(fā)送數(shù)據(jù)的命令；

- zabbix-proxy-mysql：為可選安裝包，按需安裝。Zabbix proxy 是 Zabbix 代理服務(wù)的程序，適用于分布式監(jiān)控環(huán)境。

3.2. 安裝數(shù)據(jù)庫(kù)（PerconaDB 5.7）

首先，獲取PerconaDB官方的YUM源：

值得注意的是，官方的Yum源文件版本可能隨時(shí)更新，本文列出的地址如果無(wú)法下載，可以到官方的主站尋求最新的版本：https://www.percona.com/downloads/percona-release/redhat/

shell> yum install https://www.percona.com/redir/downloads/percona-release/redhat/0.1-6/percona-release-0.1-6.noarch.rpm

其次，通過(guò)YUM方式安裝PerconaDB 57。

再次，修改PerconaDB的配置文件。

值得注意的是：

- 如果修改socket的文件位置，那么 Zabbix 配置文件中DBSocket=參數(shù)也需要修改，單方面修改的話 Zabbix 會(huì)提示連接不到數(shù)據(jù)庫(kù)；

- 原則上 innodb_buffer_pool_size 需要設(shè)置為主機(jī)內(nèi)存的 80% ;

然后，初始化數(shù)據(jù)庫(kù)：

最后，在Percona里面創(chuàng)建Zabbix數(shù)據(jù)庫(kù)，并修改權(quán)限。

3.3. 配置NTP時(shí)間同步

Zabbix Server對(duì)時(shí)間的精確要求比較高，時(shí)間對(duì)數(shù)據(jù)的計(jì)算等都有影響。因此，可以自建NTP服務(wù)器，或同步網(wǎng)絡(luò)時(shí)間。如下，使用Crontab同步網(wǎng)絡(luò)時(shí)間。

3.4. 導(dǎo)入數(shù)據(jù)庫(kù)

首先，獲取Zabbix的數(shù)據(jù)庫(kù)。

最后，使用Percona來(lái)Zabbix的初始數(shù)據(jù)庫(kù)schema和數(shù)據(jù)。

3.5. 禁用Selinux以及按需禁用或者配置防火墻

防火墻可以按需配置，可以暫時(shí)關(guān)閉，后面再進(jìn)行配置，但 Selinux必須關(guān)閉，否則后面啟動(dòng)Zabbix server的時(shí)候會(huì)報(bào)錯(cuò)。

3.6. 修改Zabbix Server的配置文件

在zabbix_server.conf中有很多參數(shù)需要修改，此時(shí)先將Zabbix連接Percona的信息配置好，包括先前創(chuàng)建的數(shù)據(jù)庫(kù)、其用戶名和密碼。需要注意的是，這里的參數(shù)必須和之前創(chuàng)建數(shù)據(jù)庫(kù)的信息一致，否則后面運(yùn)行Zabbix server時(shí)會(huì)有無(wú)法連接到數(shù)據(jù)庫(kù)的報(bào)錯(cuò)。

3.7. 配置PHP

首先，Zabbix需要修改PHP的時(shí)區(qū)。

最后，適當(dāng)修改一些PHP配置文件的參數(shù)。

3.8. 修改Web顯示文字為微軟雅黑

首先，將微軟雅黑的字體msyh.ttf上傳到/usr/share/zabbix/fonts/目錄下：

最后，修改配置文件使用微軟雅黑字體。

將代碼區(qū)第 2 行和第 3 行的graphfont改為上傳的中文字體，本例使用的字體為msyh（代碼區(qū)內(nèi)容所在為63行和108行, vi設(shè)置了set=number）。

3.9. 配置Apache

首先，設(shè)置HTTPD開機(jī)自啟。重啟并訪問(wèn)Apache的默認(rèn)頁(yè)面。

然后，為了安全起見，可以刪除Apache測(cè)試頁(yè)面。

最后，同樣地，為了安全起見，禁用Apache的目錄列表配置。在Apache的配置文件中找到該行，將該行中的Indexes去掉，并重啟進(jìn)程。

3.10. 啟動(dòng)Zabbix

啟動(dòng)zabbix-agent和zabbix-server，并將其添加到開機(jī)自啟動(dòng)。

4. 配置Zabbix Web管理頁(yè)面

首先，瀏覽器鍵入http:IP/zabbix，點(diǎn)擊Next step進(jìn)行下一步；

其次，會(huì)出現(xiàn)檢查PHP配置的頁(yè)面。此前PHP已修改了相應(yīng)參數(shù)，點(diǎn)擊Next step進(jìn)行下一步：

再次，會(huì)出現(xiàn)配置zabbix數(shù)據(jù)庫(kù)的頁(yè)面。其中Database host由localhost修改為127.0.0.1，Database port默認(rèn)，Database name、User、Password為之前建立數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)名和用戶名密碼, 點(diǎn)擊Next step進(jìn)行下一步；

此頁(yè)默認(rèn)不需要修改，直接點(diǎn)擊Next step進(jìn)行下一步； 

然后，會(huì)出現(xiàn)配置信息匯總頁(yè)面，待確認(rèn)無(wú)誤后點(diǎn)擊Next step進(jìn)行下一步；

點(diǎn)擊Finish完成安裝。

最后，完成配置，進(jìn)入登錄界面，輸入默認(rèn)的用戶名Admin和密碼zabbix，點(diǎn)擊Sign in登錄。

值得注意的是：如果此后需要修改，可以通過(guò)http://ip/zabbix/setup.php地址進(jìn)行重新配置。

5. 升級(jí)Zabbix

5.1. 主要版本間的升級(jí)

首先，主要版本間的升級(jí)，需要先閱讀官方的升級(jí)說(shuō)明，再進(jìn)行升級(jí)。

其次，備份Zabbix數(shù)據(jù)庫(kù)。

再次，備份Zabbix Server的配置文件、PHP文件和Zabbix二進(jìn)制文件。

然后，更新新版的Zabbix官方Y(jié)UM，并通過(guò)YUM UPGRADE進(jìn)行升級(jí)。

最后，待更新完成后, 重新修改中文字體(每次更新后必須修改)。

將代碼區(qū)行的graphfont改為上傳的中文字體。

5.1.1. Zabbix 3.2升級(jí)至Zabbix 3.4

首先，停止Zabbix Server和Zabbix agent

其次，備份數(shù)據(jù)庫(kù)、Zabbix Server的配置文件、PHP文件和Zabbix二進(jìn)制文件。

再次，卸載當(dāng)前的Zabbix 3.2版本。

然后，安裝Zabbix 3.4。

恢復(fù)之前的Zabbix配置文件

重新配置下Zabbix前端的配置文件

最后，啟動(dòng)Zabbix3.4，并檢查數(shù)據(jù)庫(kù)的升級(jí)日志。

5.1.2. Zabbix 3.4升級(jí)至Zabbix 4.0

5.2. 次要版本升級(jí)

如果要升級(jí)Zabbix的次要版本（例如，從 4.0.1 升級(jí)至 4.0.3），是非常容易的：

shell> yum upgrade zabbix*

待升級(jí)完成后，重新修改中文字體(每次更新后必須修改)。

將代碼區(qū)行的graphfont改為上傳的中文字體。

6. 安裝配置Zabbix Agent

6.1. 獲取Zabbix Agent

從Zabbix Download獲取下載地址：

下載地址: https://www.zabbix.com/download

6.2. 安裝配置Linxu Agent

在CentOS上安裝Zabbix agent，可以通過(guò)YUM安裝直接安裝RPM包，還可以通過(guò)源碼編譯安裝，在Zabbix 3.4版本之前，官方還提供Precompiled agents介質(zhì)，下面使用YUM直接安裝：

首先，客戶端添加官方Y(jié)UM，并通過(guò)YUM安裝Zabbix agent：

然后，按需根據(jù)修改配置文件：

最后，配置防火墻，啟動(dòng)Zabbix agent，并配置開機(jī)自啟：

6.3. 安裝配置AIX Agent

在AIX上安裝Zabbix agent，有兩種安裝方式。一種為從官網(wǎng)下載預(yù)編譯好的介質(zhì)（Precompiled agents）進(jìn)行安裝，另一種是通過(guò)源碼包編譯安裝。

值得注意的是，Zabbix agent已從3.0LTS版本開始便不再支持AIX 6.1之前的版本，建議在AIX低版本使用對(duì)應(yīng)的Zabbix agent版本，其對(duì)應(yīng)版本支持如下：

6.3.1. 預(yù)編譯文件安裝AIX Agent

首先，從官網(wǎng)下載頁(yè)面下載預(yù)編譯好的介質(zhì)（Precompiled agents），并解壓到目標(biāo)位置，解壓目標(biāo)位置可以根據(jù)需要決定。

其次，添加Zabbix用戶和用戶組：

再次，將配置文件和agent二進(jìn)制進(jìn)程文件復(fù)制到指定目錄下：

根據(jù)當(dāng)前環(huán)境修改配置文件：

然后，添加隨系統(tǒng)開機(jī)自啟動(dòng)（AIX6.1），需要將對(duì)應(yīng)的Zabbix Agent的源碼包下載下來(lái)zabbix-2.4.8.tar.gz，待解壓后，將目錄zabbix-2.4.8\misc\init.d\aix下zabbix_agentd文件拷貝到/etc/rc.d/rc2.d下：

最新，增設(shè)相應(yīng)權(quán)限，并啟動(dòng)Zabbix agent進(jìn)程。

6.3.2. 通過(guò)源碼文件安裝AIX Agent

通過(guò)源碼文件編譯安裝，需要先解決依賴包，待所有依賴包安裝完成后，即可編譯安裝Zabbix agent。

6.4. 安裝配置Windows Agent

首先，在Windows上安裝Zabbix agent，從官網(wǎng)下載預(yù)編譯好的介質(zhì)（Precompiled agents），并解壓到目標(biāo)位置，解壓目標(biāo)位置可以根據(jù)需要決定，下代碼區(qū)為Windows上的Zabbix agent目錄文件結(jié)構(gòu)：

其次，修改zabbix_agentd.win.conf配置文件，其中LogFile是日志存放的位置，Server為Zabbix Server的地址，ServerActive為開啟主動(dòng)模式并配置Zabbix Server的地址， Hostname為本地客戶端的主機(jī)名或IP地址。

然后，執(zhí)行安裝命令進(jìn)行安裝。其中，-i參數(shù)為安裝指令，-c參數(shù)為執(zhí)行配置文件的目，-s為啟動(dòng)Zabbix agent服務(wù)。

最后，zabbix_agentd.exe還有更多的命令語(yǔ)法，建議通過(guò)--help參數(shù)進(jìn)行查看：

7. 官方系統(tǒng)模板的擴(kuò)展

7.1. Windows計(jì)數(shù)器鍵值

7.2. 監(jiān)控Linux&AIX&Windows用戶登錄

7.2.1. 監(jiān)控Linux用戶登錄

關(guān)于監(jiān)控Linux用戶登錄，是利用Zabbix自帶的日志監(jiān)控功能監(jiān)控Linux的/var/log/secure日志，當(dāng)有用戶登錄失敗或者用戶在非常規(guī)時(shí)間登錄成功時(shí)觸發(fā)告警。

首先，使用Zabbix提供的鍵值'log[file,<regexp>,<encoding>,<maxlines>,<mode>,<output>]'來(lái)監(jiān)控Linux的/var/log/secure文件。先介紹下這個(gè)鍵值：

該監(jiān)控項(xiàng)類型是Zabbix agent（active），返回?cái)?shù)據(jù)類型是Log。Zabbix agent需要對(duì)監(jiān)控的日志文件有可讀權(quán)限，否則會(huì)返回unsupported。

參數(shù)介紹：

- file：日志文件的全路徑；

- regexp：過(guò)濾日志的正則表達(dá)式；

- encoding：字符編碼，默認(rèn)為英文單字節(jié)SBCS（Single-Byte Character Set）； 

- maxlines：agent 每秒發(fā)送給 server（或proxy）的數(shù)據(jù)的最大行數(shù)，這個(gè)參數(shù)會(huì)覆蓋掉zabbix_agentd.conf配置文件里的'MaxLinesPerSecond'參數(shù)；

- mode：可選填參數(shù)，即all（默認(rèn)）或skip（跳過(guò)舊數(shù)據(jù)）；

- output：自定義格式化輸出,。默認(rèn)輸出regexp匹配的整行數(shù)據(jù)。轉(zhuǎn)義字符'\0'表示regexp匹配的數(shù)據(jù)，轉(zhuǎn)義字符'\N'（N=1..9）表示regexp里第N個(gè)分組匹配到的數(shù)據(jù)。如果填其他字符串就會(huì)覆蓋掉regexp匹配的數(shù)據(jù)。

其次，在Linux模版Template_OS_Linux_Chinese下增加登錄審核的監(jiān)控項(xiàng)：

項(xiàng)目名稱：用戶登錄審核

類型：Zabbix端點(diǎn)代理程式（主動(dòng)式）

鍵值：log[/var/log/secure,'(Accepted|Failed) password',,,skip,]

數(shù)據(jù)類型：日志

數(shù)據(jù)庫(kù)更新間隔（秒）：60

歷史數(shù)據(jù)存儲(chǔ)日期：90

應(yīng)用集：security

注意：正則表達(dá)式為'(Accepted|Failed) password'，過(guò)濾/var/log/secure中的正確或失敗的用戶登錄請(qǐng)求（這里只過(guò)濾密碼驗(yàn)證方式的登錄）。

創(chuàng)建登錄失敗的觸發(fā)器：

名稱：用戶登錄失敗在主機(jī){HOST.NAME}

表達(dá)式：{Template_OS_Linux_Chinese:log[/var/log/secure,'(Accepted|Failed)     password',,,skip,].str(Failed)}=1 and {Template_OS_Linux_Chinese:log[/var/log/secure,'(Accepted|Failed) password',,,skip,].nodata(60)}=0

嚴(yán)重性：警告

該表達(dá)式含義為：如果用戶登錄失敗了，監(jiān)控項(xiàng)返回的數(shù)據(jù)中會(huì)包含F(xiàn)ailed，則觸發(fā)器被觸發(fā)。如果在60秒內(nèi)沒(méi)有接收新數(shù)據(jù)的話，則觸發(fā)器恢復(fù)，這樣就能保證觸發(fā)器不會(huì)一直在觸發(fā)狀態(tài)。

下面把表達(dá)式拆解分析:

A：{Template_OS_Linux_Chinese:log[/var/log/secure,'(Accepted|Failed) password',,,skip,].str(Failed)}=1，表示如果字符串中包含`Failed`則表達(dá)式為真； 

B：{Template_OS_Linux_Chinese:log[/var/log/secure,'(Accepted|Failed) password',,,skip,].nodata(60)}=0，表示如果60秒內(nèi)有接收數(shù)據(jù)則表達(dá)式為真，反之則表達(dá)式為假。 

邏輯為 A and B，表示同時(shí)符合 A 和 B 兩個(gè)條件（同時(shí)為真），觸發(fā)器才會(huì)觸發(fā)。

再次，創(chuàng)建登錄成功的觸發(fā)器：

名稱：用戶于非工作時(shí)間登錄成功在主機(jī){HOST.NAME}

表達(dá)式：{Template_OS_Linux_Chinese:log[/var/log/secure,'(Accepted|Failed) password',,,skip,].str(Accepted)}=1 and {Template_OS_Linux_Chinese:log[/var/log/secure,'(Accepted|Failed) password',,,skip,].nodata(60)}=0 and ({Template_OS_Linux_Chinese:log[/var/log/secure,'(Accepted|Failed) password',,,skip,].time(0)}<080000 or {Template_OS_Linux_Chinese:log[/var/log/secure,'(Accepted|Failed) password',,,skip,].time(0)}>200000)

嚴(yán)重性：警告

該表達(dá)式的含義為：晚上 20 點(diǎn)到早上 8 點(diǎn)之間如果有用戶登錄成功了，且監(jiān)控項(xiàng)返回?cái)?shù)據(jù)中會(huì)包含Accepted，則觸發(fā)器被觸發(fā)，如果60秒內(nèi)沒(méi)有接收到新數(shù)據(jù)的話，則觸發(fā)器恢復(fù)。

下面把表達(dá)式拆解分析：

A：{Template OS Linux:log[/var/log/secure,'(Accepted|Failed) password',,,skip,].str(Accepted)}=1。表示如果字符串中包含`Accepted`則表達(dá)式為真；

B: {Template OS Linux:log[/var/log/secure,'(Accepted|Failed) password',,,skip,].nodata(60)}=0。表示如果 60 秒內(nèi)有接收到數(shù)據(jù)則表達(dá)式為真，反之則表達(dá)式為假。

C：{Template OS Linux:log[/var/log/secure,'(Accepted|Failed) password',,,skip,].time(0)}<080000。表示當(dāng)前時(shí)間小于 8 點(diǎn)（08:00:00）則表達(dá)式為真；

D: {Template OS Linux:log[/var/log/secure,'(Accepted|Failed) password',,,skip,].time(0)}>200000。表示當(dāng)前時(shí)間大于晚上 8 點(diǎn)（20:00:00）則表達(dá)式為真。

邏輯為 A and B and（C or D）。表示 A 和 B 要同時(shí)為真且 C 和 D 只要一個(gè)為真，則整個(gè)表達(dá)式為真，觸發(fā)器才會(huì)觸發(fā)。

然后，因?yàn)楸O(jiān)控日志需要Agent為主動(dòng)模式，那么在Agent上需要額外配置ServerActive參數(shù)。在配置文件zabbix_agentd.conf的ServerActive參數(shù)定義了Zabbix Server的地址和端口。

同時(shí)，需要修改/var/log/secure被監(jiān)控文件的權(quán)限，/var/log/secure默認(rèn)權(quán)限為600，需要增加用戶zabbix的可讀權(quán)限，命令如下：

shell> setfacl -m u:zabbix:r-- /var/log/secure

最后，修改logrotate配置。

shell> sed -i '/kill/a\/usr\/bin\/setfacl -m u:zabbix:r-- \/var\/log\/secure'     /etc/logrotate.d/syslog

7.2.2. 監(jiān)控AIX用戶登錄

由于在AIX系統(tǒng)上的局限性，用戶登錄審核日志位于/etc/securrity/failedlogin（登錄失?。┖?var/adm/wtmp（登錄成功）文件中，并且讀取這兩個(gè)文件得用who命令讀取，顯然Zabbix自帶的日志監(jiān)控?zé)o法滿足需求，只能通過(guò)UserParameter自定義key來(lái)獲取。

首先，參照兩個(gè)文件的輸出內(nèi)容，可以看到登錄信息記錄均為單行，不會(huì)跨行，是以每行記錄一次用戶登錄行為，那么可以統(tǒng)計(jì)這個(gè)文件的行數(shù)來(lái)達(dá)到需求：

其次，在確定了監(jiān)控思路的情況下，可以著手在Agent上自定義key：

再次，由于AIX的權(quán)限控制比較嚴(yán)格，Agent上的Zabbix用戶無(wú)法讀取這兩個(gè)系統(tǒng)文件，只能通過(guò)安裝sudo來(lái)完成讀取操作，并配置sudo，增加丟兩個(gè)文件的who命令執(zhí)行權(quán)限：

從次，在Zabbix Server端增加監(jiān)控項(xiàng)，監(jiān)控項(xiàng)為在agent上定義好的自定義key：

用戶登錄成功監(jiān)控項(xiàng)：

名稱：用戶登錄成功信息

類型：Zabbix代理

鍵值：aix.acceptedlogin

數(shù)據(jù)類型：數(shù)字的(無(wú)正負(fù))

數(shù)據(jù)類型：十進(jìn)位數(shù)字

數(shù)據(jù)更新間隔(秒)：60

應(yīng)用集：Security

用戶登錄失敗監(jiān)控項(xiàng):

名稱：用戶登錄失敗監(jiān)控項(xiàng)目

類型：Zabbix代理

鍵值：aix.failedlogin

數(shù)據(jù)類型：數(shù)字的(無(wú)正負(fù))

數(shù)據(jù)類型：十進(jìn)位數(shù)字

數(shù)據(jù)更新間隔(秒)：60

應(yīng)用集：Security

最后，創(chuàng)建其觸發(fā)器：

創(chuàng)建用戶登錄成功觸發(fā)器：

名稱: 用戶于非工作時(shí)間登錄成功在主機(jī){HOST.NAME}, 請(qǐng)登錄系統(tǒng)進(jìn)行檢查

表達(dá)式: {Template_OS_AIX_Chinese:aix.acceptedlogin.change(0)}<>0 and {Template_OS_AIX_Chinese:aix.acceptedlogin.nodata(60)}=0 and ({Template_OS_AIX_Chinese:aix.acceptedlogin.time(0)}<080000 or {Template_OS_AIX_Chinese:aix.acceptedlogin.time(0)}>200000)

嚴(yán)重性: 警告

該表達(dá)式的含義為：在晚上 20 點(diǎn)到早上 8 點(diǎn)之間如果有用戶登錄成功了，且監(jiān)控項(xiàng)返回?cái)?shù)據(jù)acceptedlogin與上次采集的值發(fā)生變化，且在 60 秒內(nèi)有新數(shù)據(jù)產(chǎn)生的話，則觸發(fā)觸發(fā)器，反之觸發(fā)器恢復(fù)?；舅悸泛?Linux 登錄監(jiān)控觸發(fā)器思路相同。

創(chuàng)建用戶登錄失敗觸發(fā)器：

名稱：用戶登錄失敗在主機(jī){HOST.NAME}, 請(qǐng)登錄系統(tǒng)進(jìn)行檢查

表達(dá)式：{Template_OS_AIX_Chinese:aix.failedlogin.change(0)}<>0 and {Template_OS_AIX_Chinese:aix.failedlogin.nodata(60)}=0

嚴(yán)重性：一般嚴(yán)重

該表達(dá)式的含義為：如果監(jiān)控項(xiàng)返回?cái)?shù)據(jù)failedlogin與上次采集的值發(fā)現(xiàn)變化，且在 60 秒內(nèi)有新數(shù)據(jù)產(chǎn)生的話，則觸發(fā)觸發(fā)器，若在 60 秒內(nèi)沒(méi)有新數(shù)據(jù)的話，觸發(fā)器恢復(fù)?；舅悸泛蚅inux登錄失敗觸發(fā)器思路相同。

7.2.3. 監(jiān)控Windows用戶登錄

關(guān)于Windows用戶的登錄日志，全部記錄在事件管理器中。根據(jù)事件管理器中的記錄，在Windows模版新建登錄成功和失敗監(jiān)控項(xiàng)：

首先，參照在事件管理器中的用戶登錄成功審核記錄，創(chuàng)建對(duì)應(yīng)登錄成功的監(jiān)控項(xiàng):

名稱：Windows Users Login Successful

類型：Zabbix端點(diǎn)代理程式(主動(dòng)式)

鍵值：eventlog[Security,,'Success Audit',,^4624$,,skip]

數(shù)據(jù)類型：日志

數(shù)據(jù)更新間隔（秒）：30

應(yīng)用集：Login

該監(jiān)控項(xiàng)中，類型選擇Zabbix agent(active)、數(shù)據(jù)類型選擇Log、監(jiān)控間隔60秒。其中，監(jiān)控項(xiàng)Key的參數(shù)用大括號(hào)包裹，用逗號(hào)分隔，下面解釋各項(xiàng)參數(shù)的含義：

- Security：事件的日志名稱：

- Success Audit：事件的Severity；

- ^4624$：這是一個(gè)正則表達(dá)式，匹配事件ID等于4624的日志；

- skip：該含義是不監(jiān)控已產(chǎn)生的歷史日志，如果省略skip，會(huì)監(jiān)控所有符合以上條件的歷史日志信息。

其次，參照在事件管理器中的用戶登錄失敗審核記錄，創(chuàng)建對(duì)應(yīng)登錄失敗的監(jiān)控項(xiàng):

名稱：Windows Usesr Login Failure

類型：Zabbix端點(diǎn)代理程式(主動(dòng)式)

鍵值：eventlog[Security,,'Failure Audit',,^4625$,,skip]

數(shù)據(jù)類型：日志

數(shù)據(jù)更新間隔(秒)：60

應(yīng)用集：Login

從次，創(chuàng)建登錄成功的觸發(fā)器:

名稱:Windows Users Login Successful On {HOST.NAME}

表達(dá)式:{Template_OS_Windows_Chinese:eventlog[Security,,'Success Audit',,^4624$,,skip].nodata(60)}=0 and {Template_OS_Windows_Chinese:eventlog[Security,,'Success Audit',,^4624$,,skip].str(Advapi)}=0

嚴(yán)重性:資訊

表達(dá)式的含義為: 如果在60秒內(nèi)有監(jiān)控到數(shù)據(jù), 并且監(jiān)控內(nèi)容不包含字符串Advapi則觸發(fā)告警, 如果60秒內(nèi)沒(méi)有新的數(shù)據(jù)了, 則觸發(fā)器恢復(fù)正常; 簡(jiǎn)單點(diǎn)說(shuō)就是, 用戶登錄后觸發(fā)器觸發(fā)至少會(huì)持續(xù)60秒, 如果用戶不斷的登錄成功, 間隔小于60秒, 則觸發(fā)器一直是problem狀態(tài).

然后，創(chuàng)建登錄失敗的觸發(fā)器：

名稱:Windows Users Login Failure On {HOST.NAME}

表達(dá)式:{Template_OS_Windows_Chinese:eventlog[Security,,'Failure Audit',,^4625$,,skip].nodata(60)}=0 and {Template_OS_Windows_Chinese:eventlog[Security,,'Failure Audit',,^4625$,,skip].str(Advapi)}=0

嚴(yán)重性:警告

表達(dá)式的含義為: 如果在60秒內(nèi)有監(jiān)控到數(shù)據(jù), 并且監(jiān)控內(nèi)容不包含字符串Advapi則觸發(fā)告警, 如果60秒后沒(méi)有新的數(shù)據(jù)了, 則觸發(fā)器恢復(fù)正常; 如果有人不斷的惡意破解登錄密碼, 你會(huì)發(fā)現(xiàn)觸發(fā)器problem狀態(tài)會(huì)一直存在.

8. 異常處理

8.1. 按時(shí)間刪除Zabbix歷史數(shù)據(jù)

首先，停止Zabbix Server，獲取其縮減時(shí)間點(diǎn)的時(shí)鐘：

然后，修改MySQL的參數(shù)，使Innodb引擎支持縮減，并重啟MySQL：

最后，使用先前獲取的時(shí)鐘去清理Zabbix的歷史數(shù)據(jù)：

8.2. 消息隊(duì)列堆積

首先，停止Zabbix Server。

shell> systemctl stop zabbix_server

然后，連接數(shù)據(jù)庫(kù)，執(zhí)行以下語(yǔ)句：

SQL> update alerts set status=2,error='' where status=0 and alerttype=0;

SQL> delete from escalations;

最后，重新啟動(dòng)Zabbix Server。

shell> systemctl start zabbix_server