собирай лог rsyslog'ом клади в файлы а их уже пусть заббикс переваривает

Ну тут больше уже творческая работа чем техническая ))))

+ большинство данных можно по snmp\snmp traps получить ) что удобнее

+ большинство данных можно по snmp\snmp traps получить ) что удобнее

Вот да, я тоже сразу на связку snmptt посмотрел

Остановиться на простом..не хочется)

собирай лог rsyslog'ом клади в файлы а их уже пусть заббикс переваривает

Остановиться на простом..не хочется)

Вот трапы это не самое простое

Снпм трапы не спорю, тоже поплясать стоит, но хотелось бы как то сислогом решить, ну ладно, разберусь, мануальчик запилю)

собирай лог rsyslog'ом клади в файлы а их уже пусть заббикс переваривает

Вот примерно так настрой рсислог http://www.k-max.name/linux/rsyslog-na-debian-nastrojka-servera/

Дальше файлы от цисок начнут собираться

А там на них уже заббикс натравить

Слушай, а рсислог при приемке какого либо события, может команду выполнять?

Ох не знаю )))

Таким не озадачивался

Слушай, а рсислог при приемке какого либо события, может команду выполнять?

Тебе что нужно то? Кто когда ходил на циску и чо там делал?

Просто например, пришло событие, он запустил какой нить скрипт, который запускает zabbix sender и передаёт значение переменной на заббикс

Мне нужно мониторить сработку на запрещенные правила, например трафик не пропускается аксес листами

Ну эт на циске

Пришел трафик, циска говорит иди нахер мне acl не позволяют тебя пустить, и отсылает сообщение что была сработка по такому то правилу

Пришел трафик, циска говорит иди нахер мне acl не позволяют тебя пустить, и отсылает сообщение что была сработка по такому то правилу

А ты уверен что такие действия попадают в сислог на самой циске?

На сколько я помню нет

Могу врать, но помойму нет

По поводу рсислога настрой его самого а дальше к каждому девайсу в заббиксе нужно подвязать все 1 элемент с типом ZABBIX agent(активный ) и в настройках указать логфайл нужной циски

Ну если хорошо подумать то можно замутить один шаблон на все циски

То есть твоя первоочередная задача получить на сервере в идеале по одному логу с каждой циски

Потом заббикс сам разберется что с ним делать, ну а дальше уже писать триггеры под нужные тебе события

Набери в гугле ZABBIX rsyslog

Ну а с трафиком и списками доступа я что то даже не знаю, если циска логирует попадание в acl ,то тебе повезло )))

О логирует)))) ip access-list logging interval 10 )))

Ну все дело за малым

Спасибо напомнил, а то помню что логирует а как не помню)

Спасибо напомнил, а то помню что логирует а как не помню)

Ну все настраивай rsyslogd

Ладно, замучу через файлы, спасибо )

Потом в заббиксе создавай циску с одним элементом как я кинул выше

Потом триггеры на acl

И потом уведомление

На почту

Или в телеге

В моде можно skip указать? Как с eventlog

Ну из ключа в элементе

Недавно кто-то спрашивал, не помню

Ну из ключа в элементе

А идею ты мне набросил с acl хорошую)))спасибо ))) затра тоже у себя настрою и в трапы заверну )))) тоже есть пара acl по которым активность нужно отслеживать )))))

А то шаряться всякие по техническим vlan а уведомлений то и нет ))) настрою

Народ, подскажите, как настроить обнаружение новых узлов сети? Подключился кто-то к локалке -аларм. При добавлении в домен алармы настроил, а вот просто добавление - никак не соображу.

Народ, подскажите, как настроить обнаружение новых узлов сети? Подключился кто-то к локалке -аларм. При добавлении в домен алармы настроил, а вот просто добавление - никак не соображу.

Сканирование icmp ?

Как вариант, но не все узлы так могут отвечать.

Хм, точно

Тогда управляемое железо нужно

Эмммм, не понял.

Выгребать таблицу сам адресов

Мас

Хм...

И сравнивать чо там нового есть

Первое что в голову пришло

Адреса раздает железка cisco

Ну все равно нужно заморачиваться на появление новых мас в таблице на циске

Интересно, интересно, она хранит где-то таблицу арендуемых и статических адресов, что бы потом распарсить его?

Show mac address table

Да, мак-адресов.

Show mac address table

Она просто покажет таблицу тогда

Ну да

Ее нужно запомнить и при появлении новых алярмить

Эммм, ей нужно будет нового юзера заводить под это дело?

Таблица арендуемых тоже есть

Show ip dhcp ...... Чего-то там еще

Ладно, завтра подумаю. А то сотрудники тащат из дома ноуты и в сеть коннектят

А снупинг не включен ?

Там вообще можно привязку увидеть порт вилан айпи мак

Вот так показывает

Ну и такая же должна быть в snmp таблица

Выгребать ее через низкоуровневое обнаружение и при появлении новых алярмить

Выгребать ее через низкоуровневое обнаружение и при появлении новых алярмить

Спасибо, завтра опробую)

messenbot: Zabbix Server Trigger: /etc/passwd has been changed on localhost Trigger status: PROBLEM Trigger severity: Disaster Item values: 2130973535

В чем причина кто знает? Пароли не менялись

Понял что контрольная сумма поменялась

messenbot: Zabbix Server Trigger: /etc/passwd has been changed on localhost Trigger status: PROBLEM Trigger severity: Disaster Item values: 2130973535

в этом файле нет паролей btw

Юзера создали? Шелл поменяли?

Ничего не менял

Ничего не менял

по поставили какое

Извиняюсь, tcpdump установил

Он там прописался

Во)

qu all

Товарисчи, а подскажите куда копнуть)) Есть Zabbix server 3.0.4. В нем создана карта. Данные на карте не обновляются автоматически. То есть F5 - и новые данные, без этого ждал полчаса - картинка статическая. А, и да, у меня PostgreSQL стоит отдельно на соседней виртуалке от Zabbix server. Про баг с автообновлением карты в версиях до 3.0.3rc1 уже читал. ))Может кто сталкивался??

А должна?

ну а накуя она тогда существует?? раньше точно обновлялась, правда на 2.4 ))

открытая страница с картой по-моему сама всегда обновляет пикчу спустя интервал, интервал можно срегулировать у себя в preferences