トリガーの設定について
毎々、お世話になっております。
トリガーの設定にとりかかろうと思いましたが・・・
全く設定の仕方が分からず教えてください。
※アクションは全てメールをだすだけです。
【実現したいこと】
ディスク使用率が*%を超えたら・・・アクション
?{ホスト名:vfs.fs.size[/,pfree].last(0)}<10
5分間隔でpingし、NGだったら
5秒間隔でpingを2回して0なら・・・アクション
?{ホスト名:2&agent.ping.count(5,0)}=0
ディスクの読み込み(書き込み)ができなかったら・・・アクション
?{ホスト名:vfs.dev.read(write).last(0)}=0
ネットワークのインターフェースの受信帯域が1Mbpsを超えたら・・・アクション
?トリガーの定義の仕方がわかりません。
ロードアベレージが5を超えたら・・・アクション
?{ホスト名:system.cpu.load[,avg1].last(0)}>5
ログファイルに「error、kernelerror」が書き込まれると、その箇所から上下合わせて20行を抜き出して・・・アクション
?トリガーの定義の仕方がわかりません。
一時間で100回のアクセス失敗があると・・・アクション
?トリガーの定義の仕方がわかりません。
そもそもトリガーの定義がわかっておりません。
上記?〜?の定義値と、定義の基本??みたいなのがあれば教えてください。
大変、ご迷惑をお掛けしますが、よろしくお願いします。
kodai - 投稿数: 1341
こんにちは。
これは上記で問題ないです。
上記のトリガー設定では書式が間違っているので、設定を保存できないんじゃないかと思います。
5秒間隔でpingを実行する設定はアイテム(icmpping)で行って、
トリガーの設定では {host:icmpping.count(#2,0)}=2を設定すれば期待する結果が得られると思います。
vfs.dev.readはディスクの読書き回数を取得するアイテムなので、上記では期待する結果は得られないです。
Zabbixには「ディスクに書き込みを行って成功するかどうか」を監視するアイテムはないので、ユーザパラメータの機能を使って監視機能を拡張する必要があります。
まずはアイテムを設定する必要があります。net.if.in[eth0]などのアイテムを作成しておき、トリガーで{host:net.if.in[eth0].last(0)}>1Mなどと設定します。
net.if.in[eth0]のアイテムは標準ではシステムが起動されてから受信したトータルバイト数を取得するので、保存時の計算を「差分/時間」でbps単位に変換して置く必要があります。
上記で問題ないです。
アイテムでlog[/var/log/messages]などと設定して、トリガーで{host:log[/var/log/messages].str(error)}=1と設定します。
アクションにログの内容を記載するためには、アクションの設定でマクロを利用します。ただ、Zabbixはログを受信したタイミングで行ごとに評価を行うため、エラーを検知したログ以降のログをメールに記載することはできません。
何のアクセスについてでしょう?
まずはZabbixマニュアルを読まれるのが良いと思います。
Zabbixはアイテムでステータス情報の取得を、トリガーで取得した情報の閾値を設定するようになっていますので、そういった仕組みなどの部分はマニュアルを参照しながら色々と試されると理解できると思います。
robinmasuk - 投稿数: 81
kodai様
毎々、お世話になっております。
誰からも返事がなかったので、誰も返してくれないのかな・・・と思っていた矢先、回答頂きまして本当にありがとうございます。
未知のIPから・・・単純にいうとアタックをかけられたときに、誰がアタックをかけたかを特定したいです。
トリガーの一覧というか、みなさんもこんなトリガーの設定をしてますみたいな情報が統一できるといいですね。。。
とりあえず、kodai様に教えて頂いたトリガーを設定してみようと思います。
また質問するかもしれませんが、その時はどうかよろしくお願いいたします。
KAZ - 投稿数: 1085
robinmasukさん
Zabbixの機能で全部まかなうのは厳しいかと。
また、アタックは404や403のhttpコードが返却されるものばかりではないので、失敗だけ見ても果たしてアタック監視になるかは微妙じゃないかと。
F/Wならアタック検知をSNMPで出すものがありますのでそれを利用するのが楽です。
apache等のwebの解析は専門のログ解析ツールがあります。
AnalogとかWebalizerとか…
そっちを使った方が詳しい解析ができます。
下記のapacheのテンプレートも接続数等を見ることができます。[DOCUMENTS]-[ZABBIX-JP監視テンプレート]-[ServerStatus監視]
robinmasuk - 投稿数: 81
KAZ様
毎々、お世話になっております。
SNMPを使用した監視はまだテストしたことがなくて・・・
どんな監視が行えるか等、全然把握できておりません。
SNMPを使用すれば、アタック検知を行えるのであれば、SNMPを使用した監視も考えてみようかと思います。
上記、参照させて頂きます。
すみません・・毎回、教えて君で・・・
毎々、情報のご教示頂きありがとうございます。
KAZ - 投稿数: 1085
robinmasukさん
いまどきのF/Wはアタック検知が付いているものが多いですが、中にはないものもあります。それは御了承下さい。
ServerStatus監視はapacheのServerStatusを監視するもので、少々apacheの設定ファイルを弄る必要があります。
修正個所などはサイトの情報を参照下さい。
※:設定はさほど難しくありません。