19.11.2020 - Настройка мониторинга событий Dr.Web Enterprise Security Suite в системе мониторинга Zabbix 
Продолжаем цикл статей по антивирусному продукту Dr.Web, сертийфицированным партнёром которого, мы являемся.
Ещё один интересный кейс одного из клиентов, который мы будем тиражировать в дальнейшем по всей нашей абонентской базе клиентов по обслуживанию серверов, использующих антиврусный продукт Dr.Web.
Одним прекрасным днем передо мной была поставлена задача настроить мониторинг событий Dr.Web Enterprise Security Suite в Zabbix. Начав изучать «материальную часть» для выполнения поставленной задачи я с удивлением выяснил, что для Dr.Web ESS не только нет готовых шаблонов для Zabbix, но и по информации полученной от технической поддержки Dr.Web не поддерживается полноценный SNMP мониторинг для Dr.Web ESS под управлением Windows. Лично для меня ситуация показалась достаточно странной, так как у продуктов Dr.Web для файловых серверов UNIX есть и полноценный мониторинг через SNMP-агент и даже готовый шаблон для Zabbix. В процессе поиска решения проблемы мониторинга событий Dr.Web ESS под управлением Windows в Zabbix была найдена возможность отслеживать необходимые события при помощи настройки SNMP Traps на сервере Zabbix. Этот способ мониторинга событий Dr.Web ESS мы и рассмотрим в данной статье.
Процесс настройки будет состоять из нескольких этапов:
- Подготовка сервера Zabbix к приему SNMP Traps.
- Настройка узла сети, его источника данных и триггеров в панели управления Zabbix.
- Настройка отправки уведомлений из WEB-интерфейса Dr.Web ESS.
Подробно рассмотрим каждый из вышеперечисленных этапов настройки.
1. Настройка SNMP Traps на сервере ZABBIX.
Итак, наш Zabbix расположен на сервере под управлением Ubuntu 18.04, а для большинства приведенных ниже команд нам потребуются root права, поэтому чтобы каждый раз при выполнении той или иной команды не вводить пароль пользователя root выполним команду - sudosuи один раз введем пароль пользователя root.
Командой apt-getinstallsnmpsnmpdsnmpttsnmptrapdустанавливаем необходимые пакеты.
После окончания установки необходимых пакетов в конфигурационном файле /etc/default/snmptrapd изменяем значение параметра TRAPDRUN с no на yes, как это показано на скриншете.
Редактируем конфигурационный файл /etc/snmp/snmptrapd.conf, в котором необходимо раскомментировать строку authCommunity log,execute,net public и дописать строку traphandle default /usr/sbin/snmptthandler.
В конфигурационном файле /etc/snmp/snmptt.ini указываем параметры:
mode = daemon
net_snmp_perl_enable = 1
mibs_environment = ALL
unknown_trap_log_enable = 1
date_time_format = %H:%M:%S %Y/%m/%d
log_enable = 1
log_file = /var/log/snmptt/snmptt.log
unknown_trap_log_enable = 1
unknown_trap_log_file = /var/log/snmptt/snmpttunknown.log
В конфиге /etc/snmp/snmptt.conf дописываем стрики:
EVENT general .* "General event" Normal
FORMAT ZBXTRAP $aA $1 $2 $3
Перезапускаем snmpd, snmptt и snmptrapd командами
service snmpd restart
service snmptt restart
service snmptrapd restart
Проверяем, слушается ли 162 порт еомандой - netstat -tanu | grep :162
В конфигурационном файле /etc/zabbix/zabbix_server.conf вносим следующие изменения:
StartSNMPTrapper=1
SNMPTrapperFile=/var/log/snmptt/snmptt.log
Перезапускаем все необходимые службы:
service snmpd restart
service snmptt restart
service snmptrapd restart
service zabbix-server restart
На этом первый этап настройки завершен и мы можем переходить непосредственно к настройкам узла сети в панели управления Zabbix.
2. Настройка узла сети, его источника данных и триггеров
Для того чтоб произвести необходимые настройки узла сети перейдем в Настройки > Узлы сети и выберем нужный нам узел сети.
В наблюдаемом узле сети необходимо настроит интерфейс SNMPв котороммы указываем IP-адрес узла сети и порт 161, после чего нажимаем на кнопку «Обновить».
Переходим во вкладку «Элементы данных» наблюдаемого узла сети. Здесь нам потребуется создать один элемент данных который будет отлавливать SNMP Traps из файла лога Zabbix. Здесь необходимо указать следующие параметры:
- Имя элемента данных - может быть любым удобным для Вас. В моем случае для простоты идентификации элемента данных, его имя совпадает с ключом данных.
- Тип – выбираем SNMP trap.
- Ключ – параметр по которому происходит отбор данных из лога в который пишутся трапы.
- Интерфейс узла сети – выбираем соответствующий интерфейс.
- Тип информации – журнал (лог).
Остальные параметры можем оставить по умолчанию, проверяем, что источник данных помечен как активный и нажимаем кнопку «Обновить». Наш источник данных готов, мы можем перейти к созданию триггеров.
Несмотря на простоту создания информационных триггеров сложность на этом этапе настройки вызывает то, что нет информации о OID событий Dr.Web ESS. Тем не менее рассмотрим создание информационных триггеров на основе известных OID событий, полученных опытным путем через одновременную настройку уведомлений от Dr.Web ESS по e-mail и SNMP Traps, и последующего сопоставления e-mail уведомления с данными в логе Zabbix в момент их наступления.
Итак, достоверно известны следующие OIDы событий:
- Отправка тестового сообщения - .1.3.6.1.4.1.29690.1.0.35
- Ошибка авторизации администратора - .1.3.6.1.4.1.29690.1.0.1
- Эпидемия в сети - .1.3.6.1.4.1.29690.1.0.37
- Обнаружение вирусной угрозы - .1.3.6.1.4.1.29690.1.0.7
Настроим триггеры по примеру приведенному на скриншоте ниже.
3. Настройка отправки уведомлений из WEB-интерфейса Dr.Web ESS
На этом этапе настройки мониторинга событий Dr.Web ESS в Zabbix необходимо в web-интерфейсе Dr.Web ESS перейти в Администрирование > Конфигурация оповещений и настроить параметры отправки оповещений, а так же выбрать те события оповещения о которых вы хотите получать.
Настроим отправку оповещений:
- Метод отправки оповещений – SNMP;
- Получатель – IP-адрес сервера Zabbix;
- Общность – public.
Остальные параметры оставляем по умолчанию, после чего сохраняем изменения и отправляем тестовой сообщение. Если все было сделано правильно в Zabbix появится соответствующий информационный триггер об отправке тестового сообщения.
Если вы используете антивирусный продукт семейства Dr.Web ESS и у вас есть задачи по организации мониторинга продукта или вашей инфраструктуры в целом - обращайтесь, будем рады помочь!
Автор vk@oneweb.pro | Просмотров 4612
Комментарии (0)
Есть что сказать? Пишите нам ->