%20%E9%94%99%E8%AF%AF.png)
我想在 Zabbix 中创建一个触发器,以便type=AVC在 CentOS 6 服务器的/var/log/audit/audit.log文件中出现错误时提醒我。
我已经尝试创建一个基本的日志抓取。例如:
log[/var/log/audit/audit.log,type=AVC,"UTF-8",100]
但是,它不起作用。我认为这是由于/var/log/audit/audit.log及其父文件夹使用了以下权限:
drwxr-x---. 2 root root 4096 Apr 20 04:29 .
drwxr-xr-x. 13 root root 4096 Apr 14 12:07 ..
-rw-------. 1 root root 5948185 Apr 20 15:27 audit.log
-r--------. 1 root root 6291566 Apr 20 04:29 audit.log.1
-r--------. 1 root root 6291704 Apr 19 16:56 audit.log.2
-r--------. 1 root root 6291499 Apr 19 05:22 audit.log.3
-r--------. 1 root root 6291552 Apr 18 17:48 audit.log.4
出于安全原因,我不想更改权限。
有人用过 Zabbix 进行过日志监控吗/var/log/audit/audit.log?如果是的话,怎么做的?
答案1
您还可以在每个主机上创建一个新的日志文件,该文件会获取您想要触发的相关消息的副本。然后,您只需创建一个作业,将可操作的消息从其他日志复制到新的单个日志中。
我尽量远离邮件,因为这会增加其他问题并可能阻止您的安全警报发出。
答案2
不行,因为你需要以 root 身份运行 zabbix agent,所以你必须允许 zabbix agent 访问该文件。之后你就可以照常监控文件了。
这是你的 SELinux 模板: https://github.com/GioMac/zabbix/blob/master/templates/Template_SELinux.xml
答案3
您可以使用 zabbix日志文件监控观察/var/log/audit/audit.log预期的正则表达式(AVC可能)并相应地设置触发器。