[linux运维] 利用zabbix监控linux高危命令并发送告警(基于Zabbix 6)

运维少年2023-12-08 8:26

之前写过一篇是基于zabbix 5.4的实现文章,但是不太详细,最近已经有两个小伙伴在zabbix 6上操作,发现触发器没有str函数,所以更新一下本文,基于zabbix 6

0x01 来看看效果

高危指令出发问题告警:

发出邮件告警:

通过历史记录回溯用户指令

0x02 如何实现命令记录?

1)Linux操作系统可以通过history命令查询执行的历史命令信息

2)BASH在每次显示PS1之前都会执行PROMPT_COMMAND定义的内容 -- 可以理解为,每次用户在命令行点击一个回车之后,PROMPT_COMMAND都会被执行一次

3)利用上面两个特性,就可以实现命令行的记录

实现:修改Linux系统的/etc/bashrc文件

复制代码 
# 创建命令行记录文件
log_file=/var/log/cmd.log
# 如果是root的话就创建文件
if [[ $UID -eq 0 ]];then
  # 判断文件是否存在,不存在就创建
  if [ ! -f $log_file ]
  then
      touch $log_file
      chmod 777 $log_file
      chattr +a $log_file
  fi
fi
# 定义PROMPT_COMMAND的内容为函数__set_prompt
export PROMPT_COMMAND=__set_prompt
# 定义PROMPT_COMMAND变量为只读变量
readonly PROMPT_COMMAND
# 定义最后一个history id
Last_Hit_Num=`history 1 | awk '{print $1}'`
__set_prompt (){
    local EXIT=$? # 定义命令执行的结果  
    # 获取本次命令执行的history id
    export Cur_HIT_NUM=`history 1 | awk '{print $1}'`  
    # 如果本次执行的命令和上次执行的命令一样,则id没有变化,不需要进行记录
    # 如果这里不处理,空白回车也会导致记录,记录的值就是上次执行的命令
    if [[ $Cur_HIT_NUM -ne $Last_Hit_Num ]];then
       # 判断命令是否执行成功
       if [[ $EXIT -ne 0 ]];then
           echo "执行时间:$(date '+%y-%m-%d %T') 用户:$(who am i | awk "{print \$1\" \"\$2\" \"\$5}") 当前目录:$(pwd) 执行命令:$(history 1 | sed 's/^[ \t]*//g' | cut -d " " -f2-) 执行失败" >>$log_file
  else
           echo "执行时间:$(date '+%y-%m-%d %T') 用户:$(who am i | awk "{print \$1\" \"\$2\" \"\$5}") 当前目录:$(pwd) 执行命令:$(history 1 | sed 's/^[ \t]*//g' | cut -d " " -f2-) 执行成功" >>$log_file
      fi
    fi
    # Cur_Hit_Num赋值给Last_Hit_Num
    export Last_Hit_Num=$Last_Hit_Num
    return $EXIT
}

退出用户重新登录,或者source一下/etc/bashrc使之生效。

查看记录是否成功

0x03 在Zabbix上配置监控

1)创建一个模板Linux_Securtiry

2)创建监控项Linuxshell

键值是:logrt[/var/log/cmd.log,,,,,,,,]

3)新建一个触发器(触发告警),添加表达式

4)监控项选择上面创建的监控项,功能选择find(),O为匹配模式,我们用like,和数据库中的like是一样的意思,V是需要匹配的值,结果为1,填完之后点插入即可。

插入之后就会生成一条表达式

复制代码 
find(/Linux_Security/logrt[/var/log/cmd_log,,,,,,,,],,"like"," rm ")=1

如果要匹配多个命令,可以复制表达式,使用or连接,如:

复制代码 
find(/Linux_Security/logrt[/var/log/cmd_log,,,,,,,,],,"like"," rm ")=1 or
find(/Linux_Security/logrt[/var/log/cmd_log,,,,,,,,],,"like"," touch ")=1 or 
find(/Linux_Security/logrt[/var/log/cmd_log,,,,,,,,],,"like"," vi ")=1

最后把问题时间生成模式设置为多重即可。

以下操作沿用5.4的配置,没有更新

5)配置一个发送邮件的动作

0x04 测试一下

执行命令

查看Zabbix告警

可以看到已经发送了邮件,啥时候发恢复邮件呢?等最后一条命令不是高危命令就执行恢复了。

查看告警邮件

选择问题,点击历史记录可以查看历史的命令记录

--完,我是运维少年,欢迎关注我的微信公众号~

相关推荐
AWS官方合作商1 小时前
在CSDN发布AWS Proton解决方案:实现云原生应用的标准化部署
java·云原生·aws
gadiaola2 小时前
【JVM】Java虚拟机(二)——垃圾回收
java·jvm
Zfox_2 小时前
Redis:Hash数据类型
服务器·数据库·redis·缓存·微服务·哈希算法
coderSong25684 小时前
Java高级 |【实验八】springboot 使用Websocket
java·spring boot·后端·websocket
Mr_Air_Boy5 小时前
SpringBoot使用dynamic配置多数据源时使用@Transactional事务在非primary的数据源上遇到的问题
java·spring boot·后端
apocelipes5 小时前
Linux c 运行时获取动态库所在路径
linux·c语言·linux编程
豆沙沙包?6 小时前
2025年- H77-Lc185--45.跳跃游戏II(贪心)--Java版
java·开发语言·游戏
ABB自动化6 小时前
for AC500 PLCs 3ADR025003M9903的安全说明
服务器·安全·机器人
努力学习的小廉6 小时前
深入了解linux系统—— 进程池
linux·运维·服务器
年老体衰按不动键盘6 小时前
快速部署和启动Vue3项目
java·javascript·vue
热门推荐
01【图像处理与机器视觉】XJTU期末考点02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04海康Visionmaster-常见问题排查方法-启动阶段05YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07Coze扣子平台完整体验和实践(附国内和国际版对比)08DeepSeek各版本说明与优缺点分析09VMware虚拟机安装Win7专业版保姆级教程(附镜像包)10ICASSP2025 SPGC Challenge认知衰退挑战赛——通过自发语音的认知能力下降预测与识别(PROCESS)信号处理大奖赛