Всем добрый день!
Настраиваю возможность отслеживания неудачных попыток авторизации на серверах Linux.
У меня сейчас используется две основные системы: Centos (постепенно будем выводить из эксплуатации) и Debian.
На Centos - item and trigger такие:
item:
Zabbix agent (active check)
log[/var/log/secure,"^.*ssh.*Failed.*"]
trigger:
find(/Zabbix server/log[/var/log/secure,"^.*ssh.*Failed.*"],5s,"like","Failed")=1
Все хорошо. Работает как надо...
Например попытка неудачного входа на Centos системе:
Видно, что в пустом файле есть по факту две записи и триггер срабатывает по слову Failed.
Вот так я получаю уведомление на почту (все хорошо):
На Debian - item and trigger такие:
item:
Zabbix agent (active check)
log[/var/log/auth.log,"^.*ssh.*Failed.*"]
trigger:
find(/Template.CSTM.Linux.DEB.Security/log[/var/log/auth.log,"^.*ssh.*Failed.*"],5s,"like","Failed")=1
То есть по факту просто поменялся путь к логу с которого надо тянуть информацию.
Как видно в системе:
То есть по факту тоже самое.
А вот, что происходит с триггером. Какое я получаю сообщение:
Здесь какая-то несуразица.
Но... Если я еще раз смоделирую неправильный вход, то... В системе будет:
Видна вторая попытка от 15:54, а на почту мне придет первое уведомление от 15:47
Как видно идет какое-то отставание в 1 событие...
Что за напасть не могу разобраться...
Настраиваю возможность отслеживания неудачных попыток авторизации на серверах Linux.
У меня сейчас используется две основные системы: Centos (постепенно будем выводить из эксплуатации) и Debian.
На Centos - item and trigger такие:
item:
Zabbix agent (active check)
log[/var/log/secure,"^.*ssh.*Failed.*"]
trigger:
find(/Zabbix server/log[/var/log/secure,"^.*ssh.*Failed.*"],5s,"like","Failed")=1
Все хорошо. Работает как надо...
Например попытка неудачного входа на Centos системе:
Видно, что в пустом файле есть по факту две записи и триггер срабатывает по слову Failed.
Вот так я получаю уведомление на почту (все хорошо):
На Debian - item and trigger такие:
item:
Zabbix agent (active check)
log[/var/log/auth.log,"^.*ssh.*Failed.*"]
trigger:
find(/Template.CSTM.Linux.DEB.Security/log[/var/log/auth.log,"^.*ssh.*Failed.*"],5s,"like","Failed")=1
То есть по факту просто поменялся путь к логу с которого надо тянуть информацию.
Как видно в системе:
То есть по факту тоже самое.
А вот, что происходит с триггером. Какое я получаю сообщение:
Здесь какая-то несуразица.
Но... Если я еще раз смоделирую неправильный вход, то... В системе будет:
Видна вторая попытка от 15:54, а на почту мне придет первое уведомление от 15:47
Как видно идет какое-то отставание в 1 событие...
Что за напасть не могу разобраться...
Comment