目的
Zabbixを使用してファイルが変更されたかを監視します。変更の有無はチェックサムを使用します。
Zabbixでは2種類のチェックサムが使用できます。
・vfs.file.cksum
・vfs.file.md5sum
vfs.file.cksumは、単純なファイル変更の検出に使用されます。vfs.file.md5sumは、よりセキュアなファイル完全性の検証に使用されます。
ネットワーク構成
環境
Zabbixサーバの環境です。
| OS | Webサーバ | データベース | PHP | Zabbix Server | Zabbix Agent |
|---|---|---|---|---|---|
| CnetOS 7.8 | Apache 2.4.6 | MySQL 8.0.21 | 7.2.32 | 4.0.23 | 4.0.23 |
クライアントの環境です。
| OS | Zabbix Agent |
|---|---|
| CnetOS 7.4 | 4.0.23 |
| Windows Server 2019 | 4.0.23 |
監視設定
アイテムの設定
| 項目 | CentOS側の設定値 | Windows側の設定値 | 備考 |
|---|---|---|---|
| 名前 | ファイルのチェックサム | ファイルのチェックサム | |
| タイプ | Zabbixエージェント | Zabbixエージェント | |
| キー | vfs.file.cksum[/var/log/test/test1.txt] | vfs.file.cksum[C:\test\test1.txt] | |
| データ型 | 数値 (整数) | 数値 (整数) | |
| 監視間隔 | 5m | 5m | |
| アプリケーションの作成 | ファイル | ファイル |
| 項目 | CentOS側の設定値 | Windows側の設定値 | 備考 |
|---|---|---|---|
| 名前 | ファイルのチェックサム(MD5) | ファイルのチェックサム(MD5) | |
| タイプ | Zabbixエージェント | Zabbixエージェント | |
| キー | vfs.file.md5sum[/var/log/test/test1.txt] | vfs.file.md5sum[C:\test\test1.txt] | |
| データ型 | 文字列 | 文字列 | |
| 監視間隔 | 5m | 5m | |
| アプリケーションの作成 | ファイル | ファイル |
トリガーの設定
| 項目 | CentOS側の設定値 | Windows側の設定値 |
|---|---|---|
| 名前 | {HOST.NAME} ファイル変更検知 | {HOST.NAME} ファイル変更検知 |
| 深刻度 | 情報 | 情報 |
| 条件式 | {CentOS7-ZA4-1:vfs.file.cksum[/var/log/test/test1.txt].diff()}=1 ※最新の値が1(差異があった)という意味です。 | {WindowsServer2019:vfs.file.cksum[C:\test\test1.txt].diff()}=1 ※最新の値が1(差異があった)という意味です。 |
| 手動クローズを許可 | チェックをつける | チェックをつける |
| 項目 | CentOS側の設定値 | Windows側の設定値 |
|---|---|---|
| 名前 | {HOST.NAME} ファイル変更検知(MD5) | {HOST.NAME} ファイル変更検知(MD5) |
| 深刻度 | 情報 | 情報 |
| 条件式 | {CentOS7-ZA4-1:vfs.file.md5sum[/var/log/test/test1.txt].diff()}=1 ※最新の値が1(差異があった)という意味です。 | {WindowsServer2019:vfs.file.md5sum[C:\test\test1.txt].diff()}=1 ※最新の値が1(差異があった)という意味です。 |
| 手動クローズを許可 | チェックをつける | チェックをつける |
アクションの設定
| 項目 | 設定値 |
|---|---|
| デフォルトのアクション実行ステップの間隔 | 1h |
| デフォルトの件名 | 【ZBX】{TRIGGER.NAME} |
| デフォルトのメッセージ | Original event ID: {EVENT.ID} 障害発生時刻:{DATE} {TIME} ホスト名:{HOST.HOST} IPアドレス:{HOST.IP} 設置場所:{INVENTORY.LOCATION} 深刻度:{TRIGGER.SEVERITY} 障害内容:{TRIGGER.NAME} 最新値:{ITEM.LASTVALUE} |
| メンテナンス中の場合に実行を保留 | チェックをつける |
| 実行内容 | アラートメールの宛先を設定 |
動作確認
最新データの状態です。正常時は以下の通りです。
| ホスト | 名前 | 最新のチェック時刻 | 最新の値 |
| CentOS7-ZA4-1 | ファイルのチェックサム | 2023/04/02 00:24:34 | 2400082108 |
| ファイルのチェックサム(MD5) | 2023/04/02 00:24:05 | 3d7b6ef9039db33415ea9a003fd24d2c | |
| Windows2019-1 | ファイルのチェックサム | 2023/04/02 00:24:36 | 536521977 |
| ファイルのチェックサム(MD5) | 2023/04/02 00:24:37 | 594f803b380a41396ed63dca39503542 |
ファイルを変更します。
| ホスト | 名前 | 最新のチェック時刻 | 最新の値 |
| CentOS7-ZA4-1 | ファイルのチェックサム | 2023/04/02 00:29:34 | 2170442191 |
| ファイルのチェックサム(MD5) | 2023/04/02 00:29:05 | e7473a56ed544b2b68e3c6709c74ddfc | |
| Windows2019-1 | ファイルのチェックサム | 2023/04/02 00:29:36 | 21162487 |
| ファイルのチェックサム(MD5) | 2023/04/02 00:29:37 | 0b4e7a0e5fe84ad35fb5f95b9ceeac79 |
アラートメールが届いていることを確認します。
| 件名 | 本文 | 備考 |
| 【ZBX】CentOS7-ZA4-1 ファイル変更検知 | Original event ID: 568 障害発生時刻:2023.04.02 00:28:07 ホスト名:CentOS7-ZA4-1 IPアドレス:192.168.xxx.xxx 設置場所:UNKNOWN 深刻度:Information 障害内容:CentOS7-ZA4-1 ファイル変更検知 最新値:2170442191 | |
| 【ZBX】WindowsServer2019 ファイル変更検知 | Original event ID: 566 障害発生時刻:2023.04.02 00:29:37 ホスト名:WindowsServer2019 IPアドレス:192.168.xxx.xxx 設置場所:UNKNOWN 深刻度:Information 障害内容:WindowsServer2019 ファイル変更検知 最新値:21162487 |
チェックサム(MD5)のアラートメールです。
| 件名 | 本文 | 備考 |
| 【ZBX】CentOS7-ZA4-1 ファイル変更検知(MD5) | Original event ID: 569 障害発生時刻:2023.04.02 00:29:07 ホスト名:CentOS7-ZA4-1 IPアドレス:192.168.xxx.xxx 設置場所:UNKNOWN 深刻度:Information 障害内容:CentOS7-ZA4-1 ファイル変更検知(MD5) 最新値:e7473a56ed544b2b68e3c6709c74ddfc | |
| 【ZBX】WindowsServer2019 ファイル変更検知(MD5) | Original event ID: 567 障害発生時刻:2023.04.02 00:29:40 ホスト名:WindowsServer2019 IPアドレス:192.168.xxx.xxx 設置場所:UNKNOWN 深刻度:Information 障害内容:WindowsServer2019 ファイル変更検知(MD5) 最新値:0b4e7a0e5fe84ad35fb5f95b9ceeac79 |