Вверх

 
  • Комплексное ИТ обслуживание Вашего бизнеса 24 часа 7 дней в неделю!
  • IP телефония со знанием дела. Установка и настройка.
  • Поставки оборудования по выгодным ценам

19.11.2020 - Настройка мониторинга событий Dr.Web Enterprise Security Suite в системе мониторинга Zabbix

Продолжаем цикл статей по антивирусному продукту Dr.Web, сертийфицированным партнёром которого, мы являемся.

Ещё один интересный кейс одного из клиентов, который мы будем тиражировать в дальнейшем по всей нашей абонентской базе клиентов по обслуживанию серверов, использующих антиврусный продукт Dr.Web.

Одним прекрасным днем передо мной была поставлена задача настроить мониторинг событий Dr.Web Enterprise Security Suite в Zabbix. Начав изучать «материальную часть» для выполнения поставленной задачи я с удивлением выяснил, что для Dr.Web ESS не только нет готовых шаблонов для Zabbix, но и по информации полученной от технической поддержки Dr.Web не поддерживается полноценный SNMP мониторинг для Dr.Web ESS под управлением Windows. Лично для меня ситуация показалась достаточно странной, так как у продуктов Dr.Web для файловых серверов UNIX есть и полноценный мониторинг через SNMP-агент и даже готовый шаблон для Zabbix. В процессе поиска решения проблемы мониторинга событий Dr.Web ESS под управлением Windows в Zabbix была найдена возможность отслеживать необходимые события при помощи настройки SNMP Traps на сервере Zabbix. Этот способ мониторинга событий Dr.Web ESS мы и рассмотрим в данной статье.

Процесс настройки будет состоять из нескольких этапов:

  1. Подготовка сервера Zabbix к приему SNMP Traps.
  2. Настройка узла сети, его источника данных и триггеров в панели управления Zabbix.
  3. Настройка отправки уведомлений из WEB-интерфейса Dr.Web ESS.

Подробно рассмотрим каждый из вышеперечисленных этапов настройки.

1. Настройка SNMP Traps на сервере ZABBIX.

Итак, наш Zabbix расположен на сервере под управлением Ubuntu 18.04, а для большинства приведенных ниже команд нам потребуются root права, поэтому чтобы каждый раз при выполнении той или иной команды не вводить пароль пользователя root выполним команду - sudosuи один раз введем пароль пользователя root.

Командой apt-getinstallsnmpsnmpdsnmpttsnmptrapdустанавливаем необходимые пакеты.

Рис. 1

После окончания установки необходимых пакетов в конфигурационном файле /etc/default/snmptrapd изменяем значение параметра TRAPDRUN с no на yes, как это показано на скриншете.

Рис. 2

Редактируем конфигурационный файл /etc/snmp/snmptrapd.conf, в котором необходимо раскомментировать строку authCommunity log,execute,net public и дописать строку traphandle default /usr/sbin/snmptthandler.

Рис. 3

В конфигурационном файле /etc/snmp/snmptt.ini указываем параметры:

mode = daemon
net_snmp_perl_enable = 1
mibs_environment = ALL
unknown_trap_log_enable = 1
date_time_format = %H:%M:%S %Y/%m/%d
log_enable = 1
log_file = /var/log/snmptt/snmptt.log
unknown_trap_log_enable = 1
unknown_trap_log_file = /var/log/snmptt/snmpttunknown.log

В конфиге /etc/snmp/snmptt.conf дописываем стрики:

EVENT general .* "General event" Normal
FORMAT ZBXTRAP $aA $1 $2 $3

Перезапускаем snmpd, snmptt и snmptrapd командами

service snmpd restart
service snmptt restart
service snmptrapd restart

Проверяем, слушается ли 162 порт еомандой - netstat -tanu | grep :162

Рис. 4

В конфигурационном файле /etc/zabbix/zabbix_server.conf вносим следующие изменения:

StartSNMPTrapper=1
SNMPTrapperFile=/var/log/snmptt/snmptt.log

Перезапускаем все необходимые службы:

service snmpd restart
service snmptt restart
service snmptrapd restart
service zabbix-server restart

На этом первый этап настройки завершен и мы можем переходить непосредственно к настройкам узла сети в панели управления Zabbix.

2. Настройка узла сети, его источника данных и триггеров

Для того чтоб произвести необходимые настройки узла сети перейдем в Настройки > Узлы сети и выберем нужный нам узел сети.

Рис. 5

В наблюдаемом узле сети необходимо настроит интерфейс SNMPв котороммы указываем IP-адрес узла сети и порт 161, после чего нажимаем на кнопку «Обновить».

Рис. 6

Переходим во вкладку «Элементы данных» наблюдаемого узла сети. Здесь нам потребуется создать один элемент данных который будет отлавливать SNMP Traps из файла лога Zabbix. Здесь необходимо указать следующие параметры:

Остальные параметры можем оставить по умолчанию, проверяем, что источник данных помечен как активный и нажимаем кнопку «Обновить». Наш источник данных готов, мы можем перейти к созданию триггеров.

Рис. 7

Несмотря на простоту создания информационных триггеров сложность на этом этапе настройки вызывает то, что нет информации о OID событий Dr.Web ESS. Тем не менее рассмотрим создание информационных триггеров на основе известных OID событий, полученных опытным путем через одновременную настройку уведомлений от Dr.Web ESS по e-mail и SNMP Traps, и последующего сопоставления e-mail уведомления с данными в логе Zabbix в момент их наступления.

Итак, достоверно известны следующие OIDы событий:

Настроим триггеры по примеру приведенному на скриншоте ниже.

Рис. 8

Рис. 9

3. Настройка отправки уведомлений из WEB-интерфейса Dr.Web ESS

На этом этапе настройки мониторинга событий Dr.Web ESS в Zabbix необходимо в web-интерфейсе Dr.Web ESS перейти в Администрирование > Конфигурация оповещений и настроить параметры отправки оповещений, а так же выбрать те события оповещения о которых вы хотите получать.

Рис. 10

Настроим отправку оповещений:

Остальные параметры оставляем по умолчанию, после чего сохраняем изменения и отправляем тестовой сообщение. Если все было сделано правильно в Zabbix появится соответствующий информационный триггер об отправке тестового сообщения.

Рис. 11

 

Если вы используете антивирусный продукт семейства Dr.Web ESS и у вас есть задачи по организации мониторинга продукта или вашей инфраструктуры в целом - обращайтесь, будем рады помочь!

Комментарии (0)


Есть что сказать? Пишите нам ->

Новости IT рынка