首页 / 更多教程 / 基于Logstash+Zabbix4.4做主机登录失败监控告警

基于Logstash+Zabbix4.4做主机登录失败监控告警

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了基于Logstash+Zabbix4.4做主机登录失败监控告警,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2598字,纯文字阅读大概需要4分钟

内容图文

环境准备和说明:

Logstatsh版本: 7.10.1 日志解析和过滤,收集客户端主机filebeat发过来的日志信息并做处理,然后转发给zabbix server

Zabbix 版本: 4.4(默认使用MySQL做数据库)

主机环境说明: CentOS7.x

Filbeat 版本: 7.10.1, 收集客户端主机的登录日志信息,主要是这个文件/var/log/secure

效果展示

基于Logstash+Zabbix4.4做主机登录失败监控告警 - 文章图片

部署和配置

这里不演示如何安装Zabbix Server安装部署过程,如有需要自行参考其他文档

1. Zabbix server所在主机安装Logstatsh (过程略,着重讲配置)

2. 配置Logstatsh和安装Zabbix 输入插件

#在线安装如果安装比较慢,可以考虑用离线安装的方式,下面附有离线包
$ bin/logstash-plugin install logstash-output-zabbix
#插件离线安装
$ bin/logstash-plugin install file:///root/logstash-output-zabbix.zip

离线包链接:https://share.weiyun.com/5cBP60be 密码:xet8eq

$ cat /etc/logstash/conf.d/host-login-log.conf 
input {
    beats {
        host => "0.0.0.0"
        port => "5044"
        #codec => "json"
    }

}
#定义过滤模块
filter {
#定义zabbix_key ,需与zabbix中监控项的键值一致
#定义zabbix_host,zabbix server name
mutate {
  #host-login 是logstatsh处理完数据后添加的一个key,这个key在下面Zabbix配置需要用到
  add_field => ["[@metadata][zabbix_key]","host-login"]
  add_field => ["[@metadata][zabbix_host]","zabbix-ops"]
  #引用字段合并成新字段
  add_field => ["new_message","主机信息: %{[host][hostname]}(%{[host][ip]}) - 登录日志: %{message}"]
 }
}
output {
    #stdout { codec => rubydebug }
    #输出插件为zabbix
    # zabbix_host  引用filter模块定义的zabbix_host值
    # zabbix_server_host zabbix_server服务的host
    # zabbix_server_port zabbix_server服务的端口,默认10051
    # zabbix_key  引用filter模块定义的zabbix_key值
    # zabbix_value 输出zabbix数据字段的名称,默认message
    zabbix {
      zabbix_host => "[@metadata][zabbix_host]"
      zabbix_server_host => "10.2.6.204"
      zabbix_server_port => "10051"
      zabbix_key => "[@metadata][zabbix_key]"
      zabbix_value => "new_message"
    }
}

3. 客户端主机安装Filebeat客户端 (过程略,着重讲配置)

其实可以是 Zabbix Agent所在主机,也可以是 一台只部署了Filebeat的机器

4. 配置Filebeat

$ vim filebeat.yml
filebeat.inputs:
- type: log
  # Change to true to enable this input configuration.
  enabled: true
  # Paths that should be crawled and fetched. Glob based paths.
  paths:
    - /var/log/secure #CentOS7登录会话日志在这个文件下,CentOS6 也适用
    #- c:\programdata\elasticsearch\logs\*
  # Exclude lines. A list of regular expressions to match. It drops the lines that are
  # matching any regular expression from the list.
  #exclude_lines: ['^DBG']
  # Include lines. A list of regular expressions to match. It exports the lines that are
  # matching any regular expression from the list.
  include_lines: ['Failed password'] #只收集登录错误的日志
....

5. 启动Logstatsh和Filebeat(略...)

6. 配置Zabbix

  • 新建一个监控项

基于Logstash+Zabbix4.4做主机登录失败监控告警 - 文章图片

基于Logstash+Zabbix4.4做主机登录失败监控告警 - 文章图片

  • 配置触发器

基于Logstash+Zabbix4.4做主机登录失败监控告警 - 文章图片

7. 验证

基于Logstash+Zabbix4.4做主机登录失败监控告警 - 文章图片

内容总结

以上是互联网集市为您收集整理的基于Logstash+Zabbix4.4做主机登录失败监控告警全部内容,希望文章能够帮你解决基于Logstash+Zabbix4.4做主机登录失败监控告警所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接:https://qyyshop.com/info/1025750.html

来源:【匿名】