我想在Zabbix中创build一个触发器,以便在CentOS 6服务器的/var/log/audit/audit.log文件中随时出现type=AVC错误。
我已经尝试创build一个基本的日志刮。 例如:
log[/var/log/audit/audit.log,type=AVC,"UTF-8",100]
但是,它不起作用。 我相信这是由于/var/log/audit/audit.log和它的父文件夹使用以下权限:
drwxr-x---. 2 root root 4096 Apr 20 04:29 . drwxr-xr-x. 13 root root 4096 Apr 14 12:07 .. -rw-------. 1 root root 5948185 Apr 20 15:27 audit.log -r--------. 1 root root 6291566 Apr 20 04:29 audit.log.1 -r--------. 1 root root 6291704 Apr 19 16:56 audit.log.2 -r--------. 1 root root 6291499 Apr 19 05:22 audit.log.3 -r--------. 1 root root 6291552 Apr 18 17:48 audit.log.4
出于安全原因,我不希望更改权限。
有没有人使用Zabbix做日志监视/var/log/audit/audit.log ? 如果是的话,怎么样?
您还可以在每台主机上创build一个新的日志文件,获取要触发的相关消息的副本。 然后,您只需创build一个作业,从其他日志复制可操作的消息到新的单个日志。
我试图远离邮件,因为这增加了其他问题,并可以防止您的安全警告出去。
这是行不通的,因为你需要以root身份运行zabbix代理,你必须允许zabbix代理访问该文件。 你可以像往常一样监视文件。
这是您的SELinux模板: https : //github.com/GioMac/zabbix/blob/master/templates/Template_SELinux.xml
您可以使用zabbix进行日志文件监视,以查看预期的正则expression式( AVC可能)的/var/log/audit/audit.log并相应地设置一个触发器。