Ad Widget

**a.kulametov** · 19-02-2019, 13:21

Кто нибудь ответит на мой вопрос?

**ysus** · 19-02-2019, 19:28

Originally posted by a.kulametov

Кто нибудь ответит на мой вопрос?

Сомневаюсь. Ваш вопрос не имеет отношения к Zabbix.

По теме отслеживания команд SSH сессии можете посмотреть например тут https://serverfault.com/questions/55...cuted-over-ssh

**Kos** · 20-02-2019, 09:36

Ваш вопрос не про мониторинг, а про аудит. И сводится он не к тому, как куда-то прикрутить Zabbix, а к тому, как настроить демон sshd писать куда-либо нужную вам информацию.
Посмотрите, например, будет ли в какой-либо лог (куда именно - зависит от используемого вами дистрибутива и его версии, а также настроек sshd) писаться что-то полезное, если в конфиге этого демона (обычно - /etc/ssh/sshd_config) директиву LogLevel выставить во что-нибудь более детальное, чем INFO (VERBOSE или DEBUG1 - DEBUG3).

**Semiadmin** · 20-02-2019, 10:16

Зато потом этот лог можно и Zabbix'ом мониторить

**Kos** · 20-02-2019, 10:29

Originally posted by Semiadmin

Зато потом этот лог можно и Zabbix'ом мониторить

...только надо определиться - на предмет чего.
Какие метрики интересуют - количество введённых команд? наличие среди них какой-то запрещённой? какая-то волшебная последовательность?
Думаю, вряд ли автор темы сможет формализовать это. Скорее всего, ему нужна просто история в каком-то виде, чтобы её при необходимости можно было просмотреть и поисследовать. Но совершенно не представляю, какие тут могут быть триггеры, алерты и прочие SLA.
Т.е. это задачи не мониторинга, а аудита.

**a.kulametov** · 20-02-2019, 10:37

Если Вы про мониторинг логонов пользователей по протоколу ssh, то это уже освоено и работает. Наблюдение ведется через лог файл /var/log/auth.log, отчеты о успешных и неспешных попытках авторизоваться отправляются по почте. Интересует именно возможность централизованного мониторинга за вводимыми пользователями командами в ssh сессиях на linux серверах.

**Kos** · 20-02-2019, 14:33

Originally posted by a.kulametov

Если Вы про мониторинг логонов пользователей по протоколу ssh, то это уже освоено и работает. Наблюдение ведется через лог файл /var/log/auth.log, отчеты о успешных и неспешных попытках авторизоваться отправляются по почте. Интересует именно возможность централизованного мониторинга за вводимыми пользователями командами в ssh сессиях на linux серверах.

Я именно про применение термина "мониторинг" применительно к задаче слежения "за вводимыми пользователями командами в ssh сессиях на linux серверах". Чего именно вы ожидаете от системы мониторинга, кроме хранения истории?

**DSV12** · 20-02-2019, 15:45

Originally posted by a.kulametov

Если Вы про мониторинг логонов пользователей по протоколу ssh, то это уже освоено и работает. Наблюдение ведется через лог файл /var/log/auth.log, отчеты о успешных и неспешных попытках авторизоваться отправляются по почте. Интересует именно возможность централизованного мониторинга за вводимыми пользователями командами в ssh сессиях на linux серверах.

От вас совершенно справедливо пытаются добиться ответа: чего именно вы хотите получить от Zabbix-а, как от системы МОНИТОРИНГА? То, что вы обозначили, как задачу, вообще-то подпадает под совершенно другой класс систем, т.н. SIEM, у которых в качестве (штатных) источников данных могут быть, н-р, логи, журналы и т.п. SIEM умеют коррелировать события, реагировать на "волшебные последовательности", "плохие команды", их количество и т.п. - для того и придуманы

Кстати, безуспешные попытки залогиниться по ssh "из коробки" хорошо отрабатывает fail2ban - и забанить может, и письмо напишет и ещё - всё что прикажете

. А уже работу fail2ban я очень удобно zabbix-ом мониторю, наглядно видно на графиках, когда очередное стадо ботов налетает

**a.kulametov** · 21-02-2019, 15:00

Добрый день, пытаюсь добиться что бы система zabbix следила какой пользователь заходил по ssh на сервер и посылала через некоторое время письмо с уведомлением, какой пользователь заходил и список команд которые он вводил перед выходом из сессии. Подскажите как это сделать. спасибо.

**a.kulametov** · 04-03-2019, 08:54

В общем для отслеживания SSH сессий удалось решить задачу, создал элемент данных с типом "Zabbix agent()Active", типом информации "Журнал(Log)", с ключем "log["/var/log/auth.log",,,,]". Также создал триггер с выражением "{Имя_Хоста:log["/var/log/auth.log",,,,].str(Accepted)}=1 and {Имя_Хоста:log["/var/log/auth.log",,,,].str(cron)}=0", с уровнем тревоги "Информация"(Это для информирования об успешных логонах по SSH). Для не успешных логинов выражение будет "{имя_Хоста:log["/var/log/auth.log",,,,].str(invalid)}=1 and {Имя_Хоста:log["/var/log/auth.log",,,,].str(cron)}=0". После этого успешные и не успешные логоны пользователей на Linux машины будет отображаться на панели или можно настроить отправку оповещений по почте. А вот с отслеживанием истории команд пока не удалось решить. Если у кого нибудь есть какие нибудь мысли как в Zabbix можно отслеживать историю команд вводимых пользователями на Linux машинах прошу поделится.

**max.ch.88** · 08-03-2019, 11:35

Это задача не мониторинга, а централизованного логирования и анализа, для которых предназначены другие системы. Например - Graylog, ELK, Splunk. Все подконтрольные системы настраиваются на передачу нужных логов на центральный сервер, а уже на нем проводится фильтрация и группировка нужных данных за выбранный период времени. В частности можно получить кол-во успешных и безуспешных авторизаций за день в разрезе хостов. Или выполнения какой-то конкретной команды. Сформулируйте цель точнее, иначе "отслеживать историю команд вводимых пользователями" мертворожденная затея.
Кстати, при наличии полномочий, пользователь может повлиять на содержимое локального лога и результата "отслеживания" не будет. Историю команд пользователь точно за собой сотрет.

Ad Widget

Мониторинг истории команд linux

Мониторинг истории команд linux

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment