我想在 Zabbix 中创建一个触发器,以便type=AVC在 CentOS 6 服务器/var/log/audit/audit.log文件中出现错误时随时提醒我。
我已经尝试创建一个基本的日志抓取。例如:
log[/var/log/audit/audit.log,type=AVC,"UTF-8",100]
但是,它不起作用。我相信这是由于/var/log/audit/audit.log它的父文件夹使用了以下权限:
drwxr-x---. 2 root root 4096 Apr 20 04:29 .
drwxr-xr-x. 13 root root 4096 Apr 14 12:07 ..
-rw-------. 1 root root 5948185 Apr 20 15:27 audit.log
-r--------. 1 root root 6291566 Apr 20 04:29 audit.log.1
-r--------. 1 root root 6291704 Apr 19 16:56 audit.log.2
-r--------. 1 root root 6291499 Apr 19 05:22 audit.log.3
-r--------. 1 root root 6291552 Apr 18 17:48 audit.log.4
出于安全原因,我不想更改权限。
有没有人/var/log/audit/audit.log用Zabbix做过日志监控?如果是这样,怎么办?
它不起作用,因为您需要以 root 身份运行 zabbix agent,您必须允许 zabbix agent 访问该文件。在您可以像往常一样监视文件之后。
这是您的 SELinux 模板: https ://github.com/GioMac/zabbix/blob/master/templates/Template_SELinux.xml
您还可以在每个主机上创建一个新的日志文件,以获取您想要触发的相关消息的副本。然后您只需创建一个作业来将可操作消息从其他日志复制到新的单个日志。
我尽量远离邮件,因为这会增加其他问题,并可能阻止您的安全警报消失。
您可以使用 zabbix 进行日志文件监控,以观察
/var/log/audit/audit.log预期的正则表达式(AVC可能)并相应地设置触发器。