zabbix_agentdからの通信について
いつも参考にさせていただいております。
zabbix_agentdからのパケットについて、
ご質問させていただきます。
Zabbixサーバと別セグメント上に設置してあるノードとの間のファイアウォールで、
サーバ側からの10050ポートを許可、
ノード側からの10051ポートを不許可、
にしたところ、
サーバでのデータ取得は問題なくできているのですが、
ノード側からの10051ポート上のパケットが大量に落とされております。
監視データではないようなので、
サーバに対するヘルスチェックか何かだと思うのですが、
zabbix_agentdはそのような通信を発しているのでしょうか。
ご教示頂ければ幸いです。
tsuzuki - 投稿数: 78
鈴木です。
ノード側からのサーバへの10051ポートアクセスは主に2つの用途で使用されます。
(1.) アクティブチェックで監視する項目の要求
(2.) アクティブチェックやZabbix Senderで送信された情報の送信
要は、アクティブチェック型の監視をするには、ノード側からのサーバへの10051ポートアクセスが必須となるということです。
アイテムの設定にあるタイプの設定で「Zabbix エージェント(アクティブ)」を選ぶと、アクティブチェック型の監視になります。
このアクティブチェック型は、主にログ監視やイベントログ監視で使用されます。(ログは、アクティブチェック型でなければ監視できないので)
そのため、ログ監視をしたいならば、ノード側からのサーバへの10051ポートアクセスは必須です。
基本的にブロックすることはおすすめしません。
その他には、プロキシを使用するようなときにも、データ送信にサーバへの10051ポートアクセスが使用されます。
hirohiro - 投稿数: 4
早速のご回答ありがとうございます。
申し伝え忘れておりましたが、
アクティブチェック型のアイテムは使用しておりません。
プロキシも使用せず、
サーバの設定でノード側のセグメントへの経路を指示しております。
アクティブチェック型の監視を行う予定も無く、
なるべくポートを開けたくないのですが、
監視データ以外でzabbix_agentdが能動的に通信を行うことはあるのでしょうか。
tsuzuki - 投稿数: 78
鈴木です。
アクティブチェック型の監視の設定をしていなくとも、アクティブチェック型の監視設定が存在するかどうかチェックするために通信は発生します。
ノード側からの10051ポート上のパケットが大量に落とされている、というのはこの通信になります。
ただ、アクティブチェックは不要とのことなので、ブロックした状態で無視しておいても動作に問題はありません。
kodai - 投稿数: 1341
アクティブチェックの通信が不要でしたら、zabbix_agentd.confに
DisableActive=1
を設定すると、エージェントからZabbixサーバの10051番ポートへの通信自体が行われなくなります。
hirohiro - 投稿数: 4
>アクティブチェックの通信が不要でしたら、zabbix_agentd.confに
>
>DisableActive=1
>
>を設定
早速上記設定変更いたします。
ありがとうございました。
hirohiro - 投稿数: 4
ご教示ありがとうございました。
>アクティブチェック型の監視設定が存在するかどうかチェックするため
ということなので、
ノード側にもサーバ側にもエラーが出ないのですね。
ファイアウォールの設定はそのままにしておきます。
ありがとうございました。