Zabbixでファイルのチェックサムを監視する

スポンサーリンク

目的

Zabbixを使用してファイルが変更されたかを監視します。変更の有無はチェックサムを使用します。

Zabbixでは2種類のチェックサムが使用できます。
・vfs.file.cksum
・vfs.file.md5sum

vfs.file.cksumは、単純なファイル変更の検出に使用されます。vfs.file.md5sumは、よりセキュアなファイル完全性の検証に使用されます。

ネットワーク構成

環境

Zabbixサーバの環境です。

OSWebサーバデータベースPHPZabbix ServerZabbix Agent
CnetOS 7.8Apache 2.4.6MySQL 8.0.217.2.324.0.234.0.23

クライアントの環境です。

OSZabbix Agent
CnetOS 7.44.0.23
Windows Server 20194.0.23

監視設定

アイテムの設定

項目CentOS側の設定値Windows側の設定値備考
名前ファイルのチェックサムファイルのチェックサム
タイプZabbixエージェントZabbixエージェント
キーvfs.file.cksum[/var/log/test/test1.txt]vfs.file.cksum[C:\test\test1.txt]
データ型数値 (整数)数値 (整数)
監視間隔5m5m
アプリケーションの作成ファイルファイル
項目CentOS側の設定値Windows側の設定値備考
名前ファイルのチェックサム(MD5)ファイルのチェックサム(MD5)
タイプZabbixエージェントZabbixエージェント
キーvfs.file.md5sum[/var/log/test/test1.txt]vfs.file.md5sum[C:\test\test1.txt]
データ型文字列文字列
監視間隔5m5m
アプリケーションの作成ファイルファイル

トリガーの設定

項目CentOS側の設定値Windows側の設定値
名前{HOST.NAME} ファイル変更検知{HOST.NAME} ファイル変更検知
深刻度情報情報
条件式
{CentOS7-ZA4-1:vfs.file.cksum[/var/log/test/test1.txt].diff()}=1

※最新の値が1(差異があった)という意味です。
{WindowsServer2019:vfs.file.cksum[C:\test\test1.txt].diff()}=1

※最新の値が1(差異があった)という意味です。
手動クローズを許可チェックをつけるチェックをつける
項目CentOS側の設定値Windows側の設定値
名前{HOST.NAME} ファイル変更検知(MD5){HOST.NAME} ファイル変更検知(MD5)
深刻度情報情報
条件式
{CentOS7-ZA4-1:vfs.file.md5sum[/var/log/test/test1.txt].diff()}=1

※最新の値が1(差異があった)という意味です。
{WindowsServer2019:vfs.file.md5sum[C:\test\test1.txt].diff()}=1

※最新の値が1(差異があった)という意味です。
手動クローズを許可チェックをつけるチェックをつける

アクションの設定

項目設定値
デフォルトのアクション実行ステップの間隔1h
デフォルトの件名【ZBX】{TRIGGER.NAME}
デフォルトのメッセージOriginal event ID: {EVENT.ID}
障害発生時刻:{DATE} {TIME}
ホスト名:{HOST.HOST}
IPアドレス:{HOST.IP}
設置場所:{INVENTORY.LOCATION}
深刻度:{TRIGGER.SEVERITY}
障害内容:{TRIGGER.NAME}
最新値:{ITEM.LASTVALUE}
メンテナンス中の場合に実行を保留チェックをつける
実行内容アラートメールの宛先を設定

動作確認

最新データの状態です。正常時は以下の通りです。

ホスト名前最新のチェック時刻最新の値
CentOS7-ZA4-1ファイルのチェックサム2023/04/02 00:24:342400082108
ファイルのチェックサム(MD5)2023/04/02 00:24:053d7b6ef9039db33415ea9a003fd24d2c
Windows2019-1ファイルのチェックサム2023/04/02 00:24:36536521977
ファイルのチェックサム(MD5)2023/04/02 00:24:37594f803b380a41396ed63dca39503542

ファイルを変更します。

ホスト名前最新のチェック時刻最新の値
CentOS7-ZA4-1ファイルのチェックサム2023/04/02 00:29:342170442191
ファイルのチェックサム(MD5)2023/04/02 00:29:05e7473a56ed544b2b68e3c6709c74ddfc
Windows2019-1ファイルのチェックサム2023/04/02 00:29:3621162487
ファイルのチェックサム(MD5)2023/04/02 00:29:370b4e7a0e5fe84ad35fb5f95b9ceeac79

アラートメールが届いていることを確認します。

件名本文備考
【ZBX】CentOS7-ZA4-1 ファイル変更検知Original event ID: 568
障害発生時刻:2023.04.02 00:28:07
ホスト名:CentOS7-ZA4-1
IPアドレス:192.168.xxx.xxx
設置場所:UNKNOWN
深刻度:Information
障害内容:CentOS7-ZA4-1 ファイル変更検知
最新値:2170442191
【ZBX】WindowsServer2019 ファイル変更検知Original event ID: 566
障害発生時刻:2023.04.02 00:29:37
ホスト名:WindowsServer2019
IPアドレス:192.168.xxx.xxx
設置場所:UNKNOWN
深刻度:Information
障害内容:WindowsServer2019 ファイル変更検知
最新値:21162487

チェックサム(MD5)のアラートメールです。

件名本文備考
【ZBX】CentOS7-ZA4-1 ファイル変更検知(MD5)Original event ID: 569
障害発生時刻:2023.04.02 00:29:07
ホスト名:CentOS7-ZA4-1
IPアドレス:192.168.xxx.xxx
設置場所:UNKNOWN
深刻度:Information
障害内容:CentOS7-ZA4-1 ファイル変更検知(MD5)
最新値:e7473a56ed544b2b68e3c6709c74ddfc
【ZBX】WindowsServer2019 ファイル変更検知(MD5)Original event ID: 567
障害発生時刻:2023.04.02 00:29:40
ホスト名:WindowsServer2019
IPアドレス:192.168.xxx.xxx
設置場所:UNKNOWN
深刻度:Information
障害内容:WindowsServer2019 ファイル変更検知(MD5)
最新値:0b4e7a0e5fe84ad35fb5f95b9ceeac79