あまちゃんブログ

やあ!僕だよ!

カテゴリ:SI構築技術 > 監視ツール

検証記録

すっげーはまったんだ。だからメモ程度の内容かいときます。CentOSと同じじゃないdebian系OSは権限とかほんと違うね。Linuxもヨチヨチ歩きな私には敷居が高かったですし、CentOSのそれとは多少ちがうので余裕のある方はご参考にしてくださいw

わたくしという青二才が行った検証や手記が、皆様の環境にオキマシテモ期待ドオリニナリマスコト、(因果交流電燈のひとつの青い照明)の下で、わたくしと皆様の心象スケッチが描けますことネガッテオリマス。

インストール
https://www.zabbix.com/documentation/2.2/jp/manual/installation/install_from_packages

# wget http://repo.zabbix.com/zabbix/2.2/ubuntu/pool/main/z/zabbix/zabbix-agent_2.2.8-1+precise_amd64.deb
# dpkg -i zabbix-agent_2.2.8-1+precise_amd64.deb
# apt-get update

動作しているので確認

# /etc/init.d/zabbix-agent status
 * zabbix_agentd is running

FW設定をしっかりしている場合はポート10051を許可してください。

設定ファイル修正をします。Linuxとおなじ。
vi /etc/zabbix/zabbix_agentd.conf

設定ファイル修正
vi /etc/zabbix/zabbix_agentd.conf

Server=(Zabbix サーバの IP アドレス)
Hostname=(Zabbix エージェントのホスト名) ← Zabbix サーバ上の設定と合わせる必要があります
ServerActive=(Zabbix サーバの IP アドレス)
 AllowRoot=1 ← root権限で実行できるように値を1にして設定する。

AllowRoot=0

↓↓↓
AllowRoot=1

サービス自動起動設定(新規インストール時のみ)

update-rc.d zabbix-agent defaults
System start/stop links for /etc/init.d/zabbix-agent already exist.

設定変更後のサービスリスタート
/etc/init.d/zabbix-agent restart

ホスト側でエージェント登録する際はLinuxとほぼ同じですが、必須が2つあって
・Debianのテンプレはないですので適当なテンプレをつけました。
・必須なのですが、ホスト名はしっかり名前解決に関連することを記載しないと登録ができないですね。ホスト名のところにはIPではなくてホスト名です。
その際名前解決は不要でした。

監視データ→最新データ
a.png

監視設定

正規表現の作成
管理 -> 一般設定 -> 右端のプルダウン -> 正規表現 -> 正規表現の作成

名前:ここでは"usyslog"にしました。
条件式 :panic|emerg|alert|crit|err|PANIC|EMERG|ALERT|CRIT|ERR ※任意
条件式の形式 :結果が真
大文字小文字を区別 :いいえ ※この条件だと「いいえ」にしても大文字小文字が区別されないので注意
image

テスト文字列へ条件式で設定した文言のうち例として「err」を入力し、テスト条件式をクリックし確認する。
最終結果が真であれば動作OK

アイテム設定
設定 -> テンプレート -> <任意のテンプレート>のアイテム -> アイテムの作成

名前 :ログ監視(/var/log/syslog)※任意
タイプ :Zabbixエージェント(アクティブ)
キー :log[/var/log/syslog,@usyslog]
データ型 :ログ
更新間隔(秒) :10 ※任意
ヒストリ保存期間:90 ※任意

image

トリガー設定
設定⇒テンプレート⇒"Template OS Linux"欄の"トリガー"

名前 :syslog(/var/log/syslog) on {HOST.NAME}
条件式:({テンプレート名:log[/var/log/syslog,@usyslog].iregexp(@usyslog)})#0&({テンプレート名:log[/var/log/syslog,@usyslog].nodata(300)})=0
深刻度:※適宜

image

ログが検知確認
Ubuntuサーバでロギングテストを実施

# logger -p user.err "error"

61854bcd-a178-af55-99de-0b1db22d0c3a.png

以上



🌟ちょっとでもあなたの仕事の役に立つページであったなら、ここをクリックしてくれるとまた頑張れるんだ。



 

このエントリーをはてなブックマークに追加 mixiチェック Clip to Evernote

Zabbixマネージャが既にいて、Linuxエージェント追加の話ね。

やあ、ぼくだよ!
(注:本書は余計な言い回しが多いので不快に思われる方は見ないほうが懸命ですのん)

「新しいLinux仮想サーバ入ったんでシスログ監視いれといてね!わかるっしょ?
VPN接続とアカウントだけ渡すからさ、サクッとね。」

足元見透かされたような無茶振りをさらっと言われたことは無いですか?
なんちゃってSEの僕は、パワハラだ!嫌がらせだ!。。って思う瞬間です。

さあ検証はじめましょう

とりあえず、体調悪い振りして早く帰って自宅で検証予習したよね。
●パブリッククラウドの環境ですが、NW疎通ができるんであればオンプレとか環境差異はございませんの。
●Zabbixマネージャーは既設のものであることご注意ください。(以下マネージャーについてはエージェント登録に関する設定のおはなしです)
●Agentインストールして登録させるよね。自動登録があるのなんかわからない初心者は手動でやったよね。(自動登録できる場合はすっ飛ばせる内容があります)
●監視対象/var/log/messageの重要なエラーを示すキーワードを検知させるよね。(まあ一般的な検知の設定です)

インストール

https://blog.apar.jp/zabbix/139/
⇒参考になりました。

zabbixのyumリポジトリの登録

●コンパイルしろよww とか詳しい方は笑わんとお付き合いください。
以下RPM依存症のワタシがインストールで試行錯誤してうまくできた方法です。(2015/01/23時点ではCentOS上ではうまく言きました。。)

$ rpm -ivh http://repo.zabbix.com/zabbix/2.2/rhel/6/x86_64/zabbix-release-2.2-1.el6.noarch.rpm
$ yum -y install zabbix-agent

インストールされましたかね。

zabbixのyumリポジトリの無効化

●OS標準リポジトリ以外のパッケージをインストールおよびアップデートしないように、zabbixリポジトリを無効化しておく。

$ vi /etc/yum.repos.d/zabbix.repo

---(下記を変更)---------------------------
[zabbix]
name=Zabbix Official Repository - $basearch
baseurl=http://repo.zabbix.com/zabbix/2.0/rhel/6/$basearch/
enabled=1
↓
enabled=0

Agent設定

(参考資料)http://www.sraoss.co.jp/technology/zabbix/introduction/01-firststep.php#8

FW開放

●サーバー側のiptablesの設定です。
 設定してないとか外のFW使っている場合は適宜!

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 10051 -j ACCEPT

$ service iptables save

$ cat /etc/sysconfig/iptables

$ service iptables restart

Selinux

⇒ここはなーんもいえねー。うちはデフォルトで無効。一応確認してくださいまし。

$ getenforce
 Disabled

設定ファイル修正

$ vi /etc/zabbix/zabbix_agentd.conf

  Server=(Zabbix サーバの IP アドレス)
  Hostname=(Zabbix エージェントのホスト名) ← Zabbix サーバ上の設定と合わせる必要があります
  ServerActive=(Zabbix サーバの IP アドレス)
 AllowRoot=1 ← root権限で実行できるように値を1にして設定する。

 # AllowRoot=0
 ↓↓↓
 AllowRoot=1

自動起動

$ chkconfig zabbix-agent on

$ chkconfig --list zabbix-agent
  zabbix_agentd   0:off   1:off   2:on    3:on    4:on    5:on    6:off

はじめての起動☆

$ /etc/rc.d/init.d/zabbix-agent start


ホスト登録設定

(参考サイト)http://blog.jicoman.info/2014/05/zabbix-agent_install/

●Zabbixポータル http://zabbixサーバーIP/ にアクセスします。
[設定]→[ホスト]をクリックします。
[ホストの作成]をクリックします

   image

●[ホスト]タブを選択し、下図のように入力します。
ホスト名 ・・・ Zabbixエージェントの設定ファイル(zabbix_agentd.conf)のHostnameで設定した名前を指定します
表示名 ・・・ Zabbixサーバで表示用に使われる名称。任意で入力しない場合はホスト名が使われます
グループ ・・・ 所属させるホストグループを指定できます。通常はサービスやロール(役割)ごとにホストグループを作成します
IPアドレス ・・・ Zabbixエージェントが入っているサーバのIPアドレスを指定します。その際、[接続方法]を[IPアドレス]にしてください
   image

※すでに所属グループが存在する場合は、新規グループ作成を実施するとエラーがでました。そんなんで画面のように既存グループから登録してください。
   image

●次に、監視項目のテンプレートを選択します。テンプレートは自作できるので自分が監視したい項目だけを集めることもできます。
[テンプレート]タブを選択し、[新規テンプレートをリンク]で”Template OS Linux”と入力して[追加]をクリックすると、その上の[テンプレートとのリンク]に追加したテンプレートが表示されます。
[保存]をクリックすると、ホストの登録が完了します。
   image

   image

●登録後しばらくして、[エージェントの状態]欄が緑色に表示が変われば、ホストの登録が正常に完了となります。
   image

  
   image

●収集した情報を確認するには、[監視データ]→[最新データ]から先ほど登録したホストを選択すればグラフで確認できます。
   image

⇒初期設定はここで終わりさ!つぎはエレガントにシスログ監視の設定にいくよ!


監視設定

(参考資料)http://qiita.com/k7tak29/items/e6c685efdc97f757cd24
⇒このサイトの人、正規表現のところ感謝です。

●正規表現の作成
管理 -> 一般設定 -> GUIの設定 -> 正規表現 -> 正規表現の作成

  image

名前:ここでは"syslog"にしました。
条件式 :error|warn|fail|fatal|ERROR|WARN|FAIL|FATAL ※任意
条件式の形式 :結果が真
大文字小文字を区別 :いいえ ※この条件だと「いいえ」にしても大文字小文字が区別されないので注意
  image

●テスト文字列へ条件式で設定した文言のうち例として「error」を入力し、テスト条件式をクリックし確認する。
最終結果が真であれば動作OK
  image


アクションの設定

●設定 -> テンプレート -> <任意のテンプレート>アイテム -> アイテムの作成
⇒ここでは"Template OS Linux"テンプレートを選択しています。

  image
  image

名前 :syslog(/var/log/messages)
タイプ :Zabbixエージェント(アクティブ)
キー :log[/var/log/messages,@syslog]
データ型 :ログ
更新間隔(秒) :10 ※任意
ヒストリ保存期間:90 ※任意
  image


トリガーの設定

設定⇒テンプレート⇒"Template OS Linux"欄の"トリガー"
image
image

名前 :syslog(/var/log/messages) on {HOST.NAME}
条件式:({Template OS Linux:log[/var/log/messages,@syslog].iregexp(@syslog)})#0&({Template OS Linux:log[/var/log/messages,@syslog].nodata(300)})=0

image


loggerで検知テスト

$  logger -p local1.error "test"
$  tail -f /var/log/messages

エラーがイベント上にあがりました。

image

まとめ

なんか足早に書きなぐってしまって整理できてないなー。お笑い要素いっこもないのも残念。
またあとで書き足します。。。いらん?
それではさよなら。さよなら。



🌟ちょっとでもあなたの仕事の役に立つページであったなら、ここをクリックしてくれるとまた頑張れるんだ。



このエントリーをはてなブックマークに追加 mixiチェック Clip to Evernote

はじめに

やあ、シャアだよ。
ザビックス? くっそーザビ家め~。。こんな感じで余計なコメント満載なページですので急いでる方は見ないでね。

初心者な私でもZabbixでWindowsログ監視について検証したんですぅ。エージェントインストールしてマネージャーと会話させて、マネージャー上でイベント検知するところまでの記録です。

上司A:「おいおまえ!部のなかで一番スキルしょぼいからよぉ、おまえみたいな役立たずでもやれそうな検証作業与えてやるから、がんばれよ!」
あまちゃん:「はい...俺どんまい...」
それでは、俺のWindos2012にzabbixエージェントインストールしてイベントログ監視です。

前置き

 ・環境
 クラウド対応としてSoftLayer上のCentOSのマネージャーが存在していて、ゲストOSのWindows2012の最小スペックを追加しました。

 ・ManagerのAgentのバージョン
 たまたま検証用に設置していたのがzabbixサーバ2.2
まあ、それなんで私のSEとしての経験上エージェントもバージョンは合わせた方がいいという判断でzabbixエージェント2.2にしました。なんの経験だ?
 通常のWindows用エージェントをインストールするんですが、やはりデフォでは使えません。

 ・ダウンロードはここでしました
 http://www.zabbix.com/jp/download2.php
 安定版がおいてあるだとぉ?んじゃそれで!

本書の流れ

 エージェントのインストールはすぐ終わっちゃうんですぅ。検知までの設定の流れをまとめると、
どっかにダウンロードして > 必要なもんだけ専用フォルダに配置して > 設定ファイルをリネームしてシステムが参照できるようにして > 設定ファイルにサーバ情報と自分の情報を記述して > サービス起動するだけなんですぅ。

①zabbixエージェント初期構築

フォルダを作成
 ベースディレクトリになるフォルダを作ってください。めんどくさかったらzabiという名前でもいいですよ。ここでは「C:\zabbix_agent」」というフォルダをつくりました。アクセス権とかはadminでつくっているから気にしていないのさ。手抜きとかいうなよガルマ君。

君をダウンロードしたい
 Windows版をダウンロードしてください。http://www.zabbix.com/jp/download2.php
 ダウンロードしたアーカイブを解凍して出来たフォルダをに必要ファイルが格納されているのです。ファイルは全部使わないのが味噌よ。ドズル君。
「zabbix_agents_2.2.1.win\bin\win64」フォルダの中にある、3つしかないexeファイルを ⇒「C:\zabbix_agent」に配置。

設定ファイルの名前を変える
まあここはほら、OSSなわけだから、設定ファイルの名前を変えたりしないと動かないわけです。そんな手間があるからUNIX系は素敵だし、経験則としてのインフラSEの価値も上がるのだろうか。
zabbix_agentd.win.conf ⇒ zabbix_agentd.conf

そして僕は設定ファイルを編集する
 メモ帳で「zabbix_agentd.conf」を開くと分けわかんなくずらっと書いてあるんですね。だから秀丸とかサクラとかのエディタを使ってください。そんでもって以下のように追記と変更をしてください。すると草食系エージェントがアクティブ肉食系になるそうなんですよぉ。
 ちなみにLinuxでもこの作業は共通らしいです。

zabbix_agentd.conf
#LogFile=c:\zabbix_agentd.log
LogFile=c:\zabbix_agent\zabbix_agentd.log"ログの場所"

# HostMetadata=
HostMetadata=Windows

# Server=
Server=192.168.10.77"zabbixサーバのIP"

###Hostname=Windows host
Hostname=192.168.10.111"zabbixエージェントのIP"

# ServerActive=
ServerActive=192.168.10.77"zabbixサーバのIP"

あのねぇ、IPになってますが名前解決できていればホスト名で。

そんな君はサービスを起動する。
powershellとかコマンドプロンプトから以下のコマンドを実行してサービスを起動しましょう。

c:\zabbic_agent\zabbix_agentd.exe --config c:\zabbix_agent\agentd.conf --start

started successfully と表示され、成功が確認できましたね。

Windowsのfirewallを開放する
おっと、セキュアな私はfirewallを有効にしているので、inbound(受信)に解放設定が必要になりますよ。
Firewallの編集画面を開き、「Inbound Rules」「New Rule」の順で押下します。
必要な方はパクリ画像をおたのしみください♪

http://changineer.info/wp-content/uploads/2014/07/zbx_windows_firewall_001.png
http://changineer.info/wp-content/uploads/2014/07/zbx_windows_firewall_002.png
http://changineer.info/wp-content/uploads/2014/07/zbx_windows_firewall_003.png
http://changineer.info/wp-content/uploads/2014/07/zbx_windows_firewall_004.png

②既存マネージャーサーバで今回追加するAgentホストを登録

ここが他のサイトみていてもわからんくてね。ここ上司に褒めてもらいたかったが...

●まずマネージャーサーバーで管理画面を起動して、
設定>ホスト>ホストの追加の順に押下します。

zab_win_agent02.png

●ホスト名:[所属グループでIPアドレス]を入力。

zab_win_agent04.png

●設定>ホスト>テンプレート
※テンプレートとは、監視設定のセットの事を指します。
「新規テンプレートをリンク」欄に、”Windows”等の文字を入力します。すると、テンプレートの候補が表示されるので、適宜テンプレートを選びます。
今回は「Template OS Windows」ですね。

zab_win_agent05.png

●テンプレートを選び終わったら、追加してからの保存よろしく。

zab_win_agent06.png

●監視データ>最新データ
右上のプルダウンメニューで、グループ:[すべて]ホスト:[すべて]を選択して、下のほうのホスト欄に対象ホストが表示される事を確認します。
※図で表示されているホスト名は「Windows_test」というzabbix上に登録した私がつけた名前なんです。どうやって登録したんだか忘れました。必要性もわからない。たいしたことではないので記憶にございません。

zab_win_agent07.png

※ハイココ大事なポイントアルノコトヨー。
なかなかAgentがみつからない場合はメニューに表示されているヒストリの「最新データ」をクリックしてみてくださいね。

ヒストリ:トリガーのステータス » 障害対応コメント » ホストの設定 » ダッシュボード » 最新データ 

⇒ワタシココ結構ハマッタのコトアルヨ、チュゴクではこのオマジナイをスルノコトヨ。。
もしはまったら深呼吸と自分自身を見つめなおしてエージェント設定からやり直してくださいませ。

③監視設定

http://qiita.com/k7tak29/items/e6c685efdc97f757cd24
ここ参考にしました。参考にしたかもしれませんがパクってはないです。

アイテムの設定

●設定>テンプレート>任意のテンプレート(Template OS Windows)>アイテム>(プルダウンメニューから)アイテムの作成

以下のように設定したんですぅ。

名前:システムイベントログ ※任意
タイプ:ZABBIXエージェント(アクティブ)
キー:eventlog[system]
データ型:ログ

image

トリガーの設定

●アイテム作成後、表示されている「トリガー」リンクをたどって作成する。
設定>テンプレート>任意のテンプレート(Template OS Windows)>トリがー>(プルダウンメニューから)トリがーの作成

名前:eventlog[system]error
条件式:{ホスト名:eventlog[system].iregexp(文字列)}=判定
深刻度:重度の障害 ※任意

●ログ内の文字列を指定する場合
条件式は、
{%HOST%:eventlog[system].iregexp(文字列)}=判定

判定
1=文字列にマッチする
0=文字列にマッチしない

従って、検知したいので判定は0にします。....引っかかったぁ? 冗談です1です。ww
ここでの条件式は以下。

{192.168.0.77:eventlog[system].iregexp(Error)}=1

image

イベントログテスト

●サーバ側でエラーメッセージをだしてみよう。

>eventcreate /l system /t Error /so test /id 7777 /d test

image

●検知!君の動きはすべてお見通しさ。。
image

まとめ

こうして無事に検証を終えた私の、どうだ検証成功報告~~びびんなよ上司~。
って報告はスルーというか、「おせーんだよ。違うので提案しちゃったよ。」だってさ~~。「坊やだからさ・・・。」

それでは、さよならさよなら

🌟ちょっとでもあなたの仕事に役立つページであったなら、ここをクリックしてくれるとまた頑張れるんだ。






 

このエントリーをはてなブックマークに追加 mixiチェック Clip to Evernote

↑このページのトップヘ