目次

4.初期設定-Linuxクライアント

ログ監視がある場合、監視対象のログがzabbix-agentで監視できるよう設定する。

前提

・Zabbixの監視は以下のユーザで実施されるため、監視対象のログがこのユーザー/グループに読取り権限が無いと失敗してしまう。
※zabbix_agentd.confにAllowRoot設定(rootでzabbix-agentを動かす)があるが、セキュリティ観点から検討外とする。
 ユーザー:zabbix
 グループ:zabbix

・/var/log/messagesが以下の権限の状態を例とする。

-rw-------.  1 root   root  322539 Jan 10 11:01 messages

やること(設定例)

ユーザー(zabbix)/グループ(zabbix)に/var/log/messagesの読取り権限をつける。
以下の設定例の何れでもログ監視可能となるが、一般的には設定例1が多いと思われます。

設定例1

既存ファイル及びログローテで作成されるファイルの権限変更。
※監視対象ログ全てで、ログローテ含め設定変更する必要あり。
①パーミッションを640、所有者をroot:zabbixにする。
 (ディレクトリに対しては、パーミッションを640、所有者をroot:zabbix)

#設定
chmod 640 /var/log/messages
chown root:zabbix /var/log/messages

#確認
ls -al /var/log/messages

②ログローテのファイル作成権限を変更する。
既存ログは①で変更できるが、新規ファイルも監視できるよう権限を設定する。(ハイライト行を追加)

/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
{
    missingok
    sharedscripts
    postrotate
        /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
    endscript
    create 0640 root zabbix
}

設定例2

zabbixユーザーをrootグループに所属させる。
※rootグループに対して、特権を与えている場合は考慮が必要。
 ログによっては、rootグループでないファイルがあるため、[実施例1]と同様にログローテ設定を見直す。

#設定(rootグループ追加)※zabbixグループのみの所属に戻す場合は[usermod -G zabbix zabbix]
usermod -aG root zabbix

#確認
id zabbix

設定例3

他ユーザーの読取り権限をつける
※他ユーザーに読取り権限をつけて良いかは、セキュリティ要件の考慮が必要。
 ログによっては、rootグループで無いファイルがあるため、[実施例1]と同様にログローテ設定を見直す。
①パーミッションを644にする。
 (ディレクトリに対しては、パーミッションを755)

#設定
chmod 644 /var/log/messages

#確認
ls -al /var/log/messages