[ssh監視]linuxユーザーのログイン失敗を検知したい
環境
zabbix2.2.9
CentOS5.8
あるlinuxユーザaaaがsshログインできることを監視したいのですが、
トリガー判定がうまくいかないため、質問させてください。
※パスワード切れなどでログイン失敗したら検知したいです。
ssh監視設定を行い、共通鍵方式でaaaユーザーログインしコマンド実行はできることは確認できました。
またaaaユーザーは通常パスワード認証ですが、パスワード期限切れの状態では、
共通鍵ログインもできなくなります(expiredと表示されます)
ここまでは望む動作になりよかったのですが、
トリガー検知ができません。
---------------------------
※ちなみにパスワード設定は以下のように行えます。
・期限確認
/usr/bin/chage -l aaa
・パスワード期限切れに設定
/usr/bin/chage -E 2015-12-09 aaa
・有効に戻す
/usr/bin/chage -E 2015-12-10 aaa
---------------------------
トリガー設定
{Template ssh check:ssh.run[{HOST.HOST},{HOST.IP}].nodata(0)}=1
正常な状態で上記トリガーを設定し、パスワード期限切れにしても検知できません。
zabbix_server.logには以下が出力されます。
22422:20151210:111700.757 item "sin_confluence:ssh.run[{HOST.HOST},{HOST.IP}]" became not supported: Public key authentication failed: Failed waiting
考えてみますと、通常ssh監視の流れは、
①鍵認証で監視サーバにログイン
②任意のlinuxコマンド実行し結果取得
③取得結果をトリガー判定
となりますが、パスワード期限切れでは①で失敗するためトリガー判定にたどり着けないためなのかと思いました。
また別の方法でもかまいませんので、もし何か御存じでしたら教えていただきたいです。
よろしくお願いいたします。
TNK - 投稿数: 4769
アイテムの状態が「取得不可」になり、値が取得できなくなったこ
とが検知できれば良いのであれば、アクションの設定で、内部イベ
ントをソースとしたアクションを登録するというのはいかがでしょ
うか?
アクションを作成する際、右上のプルダウンからイベントソースと
して内部イベントを選択し、アクションを新規作成して、アクショ
ンの実行条件として、
イベントタイプ = アイテムが"取得不可"の状態
というような条件を追加し、さらに絞り込みたい場合は条件を追加
してアクションを作成してみてください。
詳細はマニュアルをご確認ください。
2.2の新機能
https://www.zabbix.com/documentation/2.2/jp/manual/introduction/whatsnew220
「5.6 サポートされていないアイテム、不明トリガーに対する通知」
3 取得不可のアイテムに関する通知の受信
https://www.zabbix.com/documentation/2.2/jp/manual/config/notifications/...
sin - 投稿数: 24
TNKさん、コメントありがとうございます。
アクションで"取得不可"の状態の検知ができるのですね。
どのようなものか、確認してみます。
教えていただきありがとうございます。
sin - 投稿数: 24
おっしゃる通り、アクション設定を行うとメール通知されるようになりました。
※ただzabbix上では障害としてなどと表示は無く、純粋にメール送信のみという感じですね。
しかし、メール通知できることが分かったのでよかったです。
ありがとうございます、助かりました。