今天看了篇帖子是关于如何利用zabbix 自带的key去读log,监控linux异常登陆,一直以来都是自己写脚本去读log的.就想看看这个zabbix log 这个key怎么样..
好吧开始:

官方文档: 英语好的去看吧

首先: log(logrt) key 只支持 active 模式....

那么

1.启动active 模式的agent

sed -i s/^ServerActive=.*/ServerActive=192.168.1.17/ /etc/zabbix/zabbix_agentd.conf

sed -i s/^Hostname=.*/Hostname=log_test/  /etc/zabbix/zabbix_agentd.conf

sed -i /StartAgents=/aStartAgents=  /etc/zabbix/zabbix_agentd.conf

  修改 配置中的IP为自己的IP
  修改 Hostname为自己的name

2.添加host
  Hostname 是上边的hostname
  IP是0.0.0.0 端口不要改
  其他的随意,根据个人需求

过了20分钟Availability图标都没亮,做了个zabbix Agent 的active 模式的template 加了进去还是不亮, 
最后搞了个Template OS Linux Active ..Availability图标亮了, 把link Template 取消了还亮着..
(应该是有数据获取到了才会亮.亮了不出问题是不会暗....)

好吧我们继续..

我们来显示登陆异常的提醒:

3. Linux 登陆异常的log文件在: /var/log/secure

Sep  :: web2 sshd[]: Accepted publickey for root from 192.168.1.156 port  ssh2

Sep  :: web2 sshd[]: Failed password for root from 192.168.1.17 port  ssh2

  #这是secure的一段,登陆成功和失败的.

4. log key的格式

log[/path/to/file/file_name,<regexp>,<encoding>,<maxlines>,<mode>,<output>]

or

logrt[/path/to/file/regexp_describing_filename_pattern,<regexp>,<encoding>,<maxlines>,<mode>,<output>]

上边是官方文档的解释:很详细...也有样例...

第一部分:/path/to/file/file_name log文件的路径

第二部分: <regexp> 正则匹配

第三部分: <encoding> 文件的编码格式

第四部分: <maxlines> agent每秒发送给server的最大行数

第五部分: <mode> 模式

第六部分: <output> 可选的输出格式

Zabbix agent will filter entries of the log file by the content regexp, if present.
Make sure that the file has read permissions for the 'zabbix' user otherwise the item status will be set to 'unsupported'.
For more details see log and logrt entries in the supported Zabbix agent item keys section.
再看看官档的解释: 如果 regexp 部分存在的话,zabbix agent会去使用regexp去过滤日志文件的内容
确保zabbix对日志有可读权限

5. 创建item
  name 随便起个
  type  要选择 zabbix agent(active)
  key 我们点击 select选择log[......] file 改成我们的日志文件/var/log/secure
  Type of Information 选择log
  其他的随意了
  如图:

    
看看item 没报错就正常了,这里应该会报错,缺少对log文件的读权限
实验我只是做了简单的赋权:

chown zabbix.zabbix /var/log/secure

好了没什么问题了!

6. 创建个trigger  

  name 随便写个
  Expression:

{log_test:log[/var/log/secure,"Failed password"].str(Failed)}= and  {log_test:log[/var/log/secure,"Failed password"].nodata()}=

  # item 获取的值中出现Failed 就报警, 如果60s 无数据就恢复.

  Severitey 选择 Warning

好了一切都完成了....
模拟个失败登陆试试.....

这是获取的数据...

邮件也收到了报警..(前提是你要配置了邮件..)

完成了...

好了这个只是简单的模拟了log的用法..我们匹配了Failed 我们也可以配置 key( log[/var/log/secure,"(Accepted|Failed) password"])  trigger相应改下.
根据不同的需求可以做响应的改变.
output可以改变输出的结果 像第六步那张表, 输出的都是截取到的内容,你可以让输出0,1 任何这样就可以做一些其他的用途了.
有人问这个东西读日志的效率,没找到读日志具体的描述,我觉得效率不会太低,应该和tail -f 一个原理...对于不会写脚本去分析日志来说这个已经很简单了...

zabbix log(logrt) key的使用的更多相关文章

  1. 基于zabbix 内置key的应用

    一.内置key说明: Zabbix 内置了很多丰富的key,使得咱们再添加linux os模板的时候,已经帮我们把key给定义好,这样我们就能够直接链接模板就可以使用了. 我们这边的话列举一些内置ke ...

  2. zabbix 内置key说明

    原文参考:https://blog.csdn.net/whs_321/article/details/52939263 一.简介 Zabbix 内置了很多丰富的key,使得我们在添加linux os模 ...

  3. ZABBIX自定义用户KEY与参数USERPARAMETERS监控脚本输出

    zabbix在模板中预定义了一些key,但通常情况,并不能满足我们的需求.幸运的是zabbix提供了自定义key的方法,因此我们可以灵活的监控各种我们想要监控的数据. 定义配置文件 通过yum安装的z ...

  4. 014.Zabbix的Agent key

    一 常见key 1.1 监控网卡流量的key net.if.{in/out}[if,<mode>] if表示网卡接口,mode表示取值类型. mode参数:bytes(默认),packet ...

  5. 转 zabbix 自动发现和 zabbix自定义用户key与参数User parameters

    ########31 https://www.cnblogs.com/yjt1993/p/10883345.html 1.概念 在配置Iterms的过程中,有时候需要对类似的Iterms进行添加,这些 ...

  6. zabbix使用自定义key进行监控

    我的zabbix-server是安装在另一台虚拟机上的,用来监控下图中的这台虚拟机 先修改zabbix的客户端配置文件,增加UserParameter那行,这里我只是用来测试,所以就随便起了一个名为p ...

  7. zabbix 通过自定义key完成网卡监控

    创建执行脚本: # cat /etc/zabbix/monitor_scripts/network.sh #!/bin/bash #set -x usage() { echo "Useage ...

  8. zabbix 执行自定义key脚本超时

    报错如下: [root@master scripts]# /usr/local/zabbix/bin/zabbix_get -s 127.0.0.1 -k web.site.code[www.baid ...

  9. (17)zabbix自定义用户key与参数User parameters

    为什么要自定义KEY 有时候我们想让被监控端执行一个zabbix没有预定义的检测,zabbix的用户自定义参数功能提供了这个方法. 我们可以在客户端配置文件zabbix_angentd.conf里面配 ...

随机推荐

  1. 软硬大比拼 硅胶、TPU和PC材质对比

    手机保护壳的材质有很多种,目前保护壳市场上最为常见的就是硅胶.TPU.PC材质了.那么我们不禁要问,PU.硅胶.PC三材质到底有哪些区别呢?普通消费者在购买保护壳的时候能否从外表就能看出保护壳材质?P ...

  2. 教你如何用Qt做透明的窗体,setMask, Opacity

    // In this function, we can get the height and width of the current widgetvoid Widget::resizeEvent(Q ...

  3. UNDO 100%

    另外查了下v$undostat,发现begin_time已经很久没有改变, BEGIN_TIME           END_TIME             MAXQUERYLEN MAXCONCU ...

  4. js编写验证码

    这是一个简单的js编写的验证码,自己已经亲自验证,没有问题了 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN ...

  5. DLL入门浅析(4)——从DLL中导出类

    转载自:http://www.cppblog.com/suiaiguo/archive/2009/07/20/90663.html 前面介绍了怎么从DLL中导出函数和变量,实际上导出类的方法也是大同小 ...

  6. apt-mirror

    对于centos来说,搭建一个本地源,相对来说,还是比较简单的.对于ubuntu来说,就复杂很多, 估计也和我不熟悉有关. http://unixrob.blogspot.com/2012/05/cr ...

  7. 大规模Hadoop集群在腾讯数据仓库TDW的实践

    随着业务的快速增长,TDW的节点数也在增加,对单个大规模Hadoop集群的需求也越来越强烈.TDW需要做单个大规模集群,主要是从数据共享.计算资源共享.减轻运营负担和成本等三个方面考虑. 数据共享.T ...

  8. WKWebview点击图片查看大图

    大家都知道,WKWebview是没有查看大图的属性或者方法的,所以只能通过js与之交互来实现这一功能,原理:通过js获取页面的图片,把它存放到数组,给图片添加点击事件,通过index显示大图就行了 其 ...

  9. windows 编程—— 学习指导

    这里有一份很好的资源,被制作成chm文件的<Windows 程序设计>,包含了中文版和英文版,还有全书源代码,虽然不知道是谁出版的,但是感觉对Windows编程新手来说还是很不错的.关键还 ...

  10. Kernel 4.9的BBR拥塞控制算法。

    重要的事情说三遍! BBR并不能突破带宽限制!!! BBR并不能突破带宽限制!!! BBR并不能突破带宽限制!!! 它的功能如下: 1.在高丢包率与低速率的网络中提升传输效果,充分利用带宽. 2.降低 ...