Eu gostaria de criar um gatilho no Zabbix para me alertar sempre que um erro type=AVC aparecer no arquivo /var/log/audit/audit.log do servidor CentOS 6.
Eu já tentei criar um scrape de log básico. Por exemplo:
log[/var/log/audit/audit.log,type=AVC,"UTF-8",100]
No entanto, isso não funciona. Acredito que isso se deva ao /var/log/audit/audit.log e sua pasta pai usando as seguintes permissões:
drwxr-x---. 2 root root 4096 Apr 20 04:29 .
drwxr-xr-x. 13 root root 4096 Apr 14 12:07 ..
-rw-------. 1 root root 5948185 Apr 20 15:27 audit.log
-r--------. 1 root root 6291566 Apr 20 04:29 audit.log.1
-r--------. 1 root root 6291704 Apr 19 16:56 audit.log.2
-r--------. 1 root root 6291499 Apr 19 05:22 audit.log.3
-r--------. 1 root root 6291552 Apr 18 17:48 audit.log.4
Eu preferiria não alterar as permissões por motivos de segurança.
Alguém fez o monitoramento de log de /var/log/audit/audit.log usando o Zabbix? E se sim, como?
Você também pode criar um novo arquivo de log, em cada host, que obtém cópias das mensagens relevantes que você deseja acionar. Então você acabou de criar um trabalho para copiar mensagens acionáveis, de outros registros para o novo registro único.
Eu tento evitar mensagens, pois isso adiciona outros problemas e pode impedir que seu alerta de segurança seja exibido.
Não funciona, porque você precisa executar o agente zabbix como root, você deve permitir que o agente zabbix acesse esse arquivo. Depois você pode monitorar o arquivo como de costume.
Aqui está o seu modelo para o SELinux: link
Você pode usar o zabbix para monitorar arquivos de log para assistir ao /var/log/audit/audit.log para a regexp esperada ( AVC possivelmente) e defina um acionador de acordo.