4.初期設定-Linuxクライアント
ログ監視がある場合、監視対象のログがzabbix-agentで監視できるよう設定する。
前提
・Zabbixの監視は以下のユーザで実施されるため、監視対象のログがこのユーザー/グループに読取り権限が無いと失敗してしまう。
※zabbix_agentd.confにAllowRoot設定(rootでzabbix-agentを動かす)があるが、セキュリティ観点から検討外とする。
ユーザー:zabbix
グループ:zabbix
・/var/log/messagesが以下の権限の状態を例とする。
-rw-------. 1 root root 322539 Jan 10 11:01 messages
やること(設定例)
ユーザー(zabbix)/グループ(zabbix)に/var/log/messagesの読取り権限をつける。
以下の設定例の何れでもログ監視可能となるが、一般的には設定例1が多いと思われます。
設定例1
既存ファイル及びログローテで作成されるファイルの権限変更。
※監視対象ログ全てで、ログローテ含め設定変更する必要あり。
①パーミッションを640、所有者をroot:zabbixにする。
(ディレクトリに対しては、パーミッションを640、所有者をroot:zabbix)
#設定 chmod 640 /var/log/messages chown root:zabbix /var/log/messages #確認 ls -al /var/log/messages
②ログローテのファイル作成権限を変更する。
既存ログは①で変更できるが、新規ファイルも監視できるよう権限を設定する。(ハイライト行を追加)
/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
{
missingok
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
create 0640 root zabbix
}
設定例2
zabbixユーザーをrootグループに所属させる。
※rootグループに対して、特権を与えている場合は考慮が必要。
ログによっては、rootグループでないファイルがあるため、[実施例1]と同様にログローテ設定を見直す。
#設定(rootグループ追加)※zabbixグループのみの所属に戻す場合は[usermod -G zabbix zabbix] usermod -aG root zabbix #確認 id zabbix
設定例3
他ユーザーの読取り権限をつける
※他ユーザーに読取り権限をつけて良いかは、セキュリティ要件の考慮が必要。
ログによっては、rootグループで無いファイルがあるため、[実施例1]と同様にログローテ設定を見直す。
①パーミッションを644にする。
(ディレクトリに対しては、パーミッションを755)
#設定 chmod 644 /var/log/messages #確認 ls -al /var/log/messages