Sådan overvåges fjernservere sikkert ved hjælp af Zabbix på CentOS 7

Zabbix er en gratis og open source virksomhedsklar software, der bruges til at overvåge tilgængeligheden af ​​systemer og netværkskomponenter. Zabbix kan overvåge tusindvis af servere, virtuelle maskiner eller netværkskomponenter samtidigt. Zabbix kan overvåge næsten alt relateret til et system såsom CPU, hukommelse, diskplads og IO, processer, netværk, databaser, virtuelle maskiner og webtjenester. Hvis IPMI-adgang leveres til Zabbix, kan den også overvåge hardwaren såsom temperatur, spænding og så videre.

Forudsætninger

• En Vultr CentOS 7-serverinstans.
• En sudo-bruger .

Til denne vejledning vil vi bruge 192.0.2.1som den offentlige IP-adresse på Zabbix-serveren og 192.0.2.2som den offentlige IP-adresse på en Zabbix-vært, som vi fjernovervåger. Sørg for at erstatte alle forekomster af eksempel-IP-adressen med dine faktiske offentlige IP-adresser.

Opdater dit basissystem ved hjælp af vejledningen Sådan opdaterer du CentOS 7 . Når dit system er blevet opdateret, skal du fortsætte med at installere afhængighederne.

Installer Apache og PHP

Ved installation af Zabbix web opretter den automatisk konfigurationen til Apache.

Installer Apache for at betjene Zabbix front-end eller web-UI.

sudo yum -y install httpd

Start Apache og aktiver den til automatisk at starte ved opstart.

sudo systemctl start httpd
sudo systemctl enable httpd

Tilføj og aktiver Remidepotet, da standardlageret YUMindeholder en ældre version af PHP.

sudo rpm -Uvh http://rpms.remirepo.net/enterprise/remi-release-7.rpm
sudo yum -y install yum-utils
sudo yum-config-manager --enable remi-php71

Installer den seneste version af PHP sammen med de moduler, der kræves af Zabbix.

sudo yum -y install php php-cli php-gd php-bcmath php-ctype php-xml php-xmlreader php-xmlwriter php-session php-sockets php-mbstring php-gettext php-ldap php-pgsql php-pear-Net-Socket

Installer og konfigurer PostgreSQL

PostgreSQL er et objektrelationelt databasesystem. Du bliver nødt til at tilføje PostgreSQL-lageret i dit system, da standard YUM-lageret indeholder en ældre version af PostgreSQL.

sudo rpm -Uvh https://download.postgresql.org/pub/repos/yum/9.6/redhat/rhel-7-x86_64/pgdg-centos96-9.6-3.noarch.rpm

Installer PostgreSQL-databaseserveren.

sudo yum -y install postgresql96-server postgresql96-contrib

Initialiser databasen.

sudo /usr/pgsql-9.6/bin/postgresql96-setup initdb

initdb opretter en ny databaseklynge, som er en gruppe af databaser, der administreres af en enkelt server.

Rediger for pg_hba.confat aktivere MD5-baseret godkendelse.

sudo nano /var/lib/pgsql/9.6/data/pg_hba.conf

Find følgende linjer og skift peertil trustog idnettil md5.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     peer
# IPv4 local connections:
host    all             all             127.0.0.1/32            idnet
# IPv6 local connections:
host    all             all             ::1/128                 idnet

Når den er opdateret, skal konfigurationen se ud som vist nedenfor.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     trust
# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
# IPv6 local connections:
host    all             all             ::1/128                 md5

Start PostgreSQL-serveren og aktiver den til at starte automatisk ved opstart.

sudo systemctl start postgresql-9.6
sudo systemctl enable postgresql-9.6

Skift passwordfor standard PostgreSQL-brugeren.

sudo passwd postgres

Log ind som PostgreSQL-bruger.

sudo su - postgres

Opret en ny PostgreSQL-bruger til Zabbix.

createuser zabbix

Skift til PostgreSQL-skallen.

psql

Indstil en adgangskode til den nyoprettede databasebruger til Zabbix-databasen.

ALTER USER zabbix WITH ENCRYPTED password 'StrongPassword';

Opret en ny database til Zabbix.

CREATE DATABASE zabbix OWNER zabbix;

Udgang fra psqlskallen.

\q

Skift til sudobrugeren fra den aktuelle postgresbruger.

exit

Installer Zabbix

Zabbix leverer binære filer til CentOS, som kan installeres direkte fra Zabbix-depotet. Tilføj Zabbix-depotet til dit system.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Installer Zabbix serverog Zabbix web.

sudo yum -y install zabbix-server-pgsql zabbix-web-pgsql 

Importer PostgreSQL-databasen.

zcat /usr/share/doc/zabbix-server-pgsql-3.4.*/create.sql.gz | psql -U zabbix zabbix

Du bør se noget, der ligner det følgende i slutningen af ​​outputtet.

...
INSERT 0 1
INSERT 0 1
COMMIT

Åbn Zabbix-konfigurationsfilen for at opdatere databasedetaljerne.

sudo nano /etc/zabbix/zabbix_server.conf

Find følgende linjer, og opdater værdierne i henhold til din databasekonfiguration. Du bliver nødt til at afkommentere de DBHostog DBPortlinjer.

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=StrongPassword
DBPort=5432

Zabbix installerer automatisk den virtuelle værtsfil til Apache. Vi bliver nødt til at konfigurere den virtuelle vært til at opdatere tidszonen og PHP-versionen.

sudo nano /etc/httpd/conf.d/zabbix.conf

Find følgende linjer.

<IfModule mod_php5.c>
...
#php_value date.timezone Europe/Riga

Da vi bruger PHP version 7, skal du også opdatere mod_phpversionen. Opdater linjerne i henhold til din tidszone som vist nedenfor.

<IfModule mod_php7.c>
...
php_value date.timezone Asia/Kolkata

Genstart nu Apache for at anvende disse ændringer i konfigurationen.

sudo systemctl restart httpd

Start Zabbix-serveren og aktiver den til automatisk at starte ved opstart.

sudo systemctl start zabbix-server
sudo systemctl enable zabbix-server

Du burde have Zabbix-serveren kørende nu. Du kan kontrollere status for processen ved at køre denne.

sudo systemctl status zabbix-server

Rediger firewallen for at tillade standarden HTTPog HTTPSporten. Du skal også tillade port 10051gennem firewallen, som vil blive brugt af Zabbix til at hente hændelser fra Zabbix-agent, der kører på fjernmaskiner.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --zone=public --permanent --add-port=10051/tcp
sudo firewall-cmd --reload

To access the administration dashboard, you can open http://192.0.2.1/zabbix using your favorite browser. You will see a welcome message. You should have all the prerequisites satisfied on the next interface. Follow the instructions on the installer page to install the software. Once the software has been installed, login using the username Admin and password zabbix. Zabbix is now installed and ready to collect the data from the Zabbix agent.

Setup a Zabbix Agent on the Server

To monitor the server on which Zabbix is installed, you can set up the agent on the server. The Zabbix agent will gather the event data from the Linux server to send it to the Zabbix server. By default, port 10050 is used to send the events and data to the server.

Install the Zabbix agent.

sudo yum -y install zabbix-agent

Start the agent and enable it to automatically start at boot.

sudo systemctl start zabbix-agent
sudo systemctl enable zabbix-agent

The communication between the Zabbix agent and the Zabbix server is done locally, thus there is no need to set up any encryption.

Before the Zabbix server can receive any data, you need to enable the host. Login to the web administration dashboard of the Zabbix server and go to Configuration >> Host. You will see a disabled entry of the Zabbix server host. Select the entry and click on the "Enable" button to enable the monitoring of the Zabbix server application and the base CentOS system on which the Zabbix server is installed.

Setup the Agent on Remote Linux Machines

There are three methods by which a remote Zabbix agent can send events to the Zabbix server. The first method is to use an unencrypted connection, and the second is using a secured pre-shared key. The third and most secure way is to encrypt the transmission using RSA certificates.

Before we proceed to install and configure the Zabbix agent on the remote machine, we need to generate the certificates on the Zabbix server system. We will use self-signed certificates.

Run the following commands on the Zabbix server as a sudo user.

Create a new directory to store Zabbix keys and generate the private key for the CA.

mkdir ~/zabbix-keys && cd ~/zabbix-keys
openssl genrsa -aes256 -out zabbix-ca.key 4096

It will ask you for a passphrase to protect the private key. Once the private key has been generated, proceed to generate the certificate for the CA.

openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt

Angiv adgangssætningen for den private nøgle. Det vil bede dig om et par detaljer om dit land, stat, organisation. Angiv detaljerne i overensstemmelse hermed.

[user@vultr zabbix-keys]$ openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt
Enter passphrase for `zabbix-ca.key`:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:My State
Locality Name (eg, city) [Default City]:My City
Organization Name (eg, company) [Default Company Ltd]:My Organization
Organizational Unit Name (eg, section) []:My Unit
Common Name (eg, your name or your server's hostname) []:Zabbix CA
Email Address []:[email protected]

Vi har genereret CA-certifikatet. Generer den private nøgle og CSR til Zabbix-serveren.

openssl genrsa -out zabbix-server.key 2048
openssl req -new -key zabbix-server.key -out zabbix-server.csr

Angiv venligst ikke en adgangssætning til at kryptere den private nøgle, når du kører ovenstående kommando. Brug CSR'en til at generere certifikatet til Zabbix-serveren.

openssl x509 -req -in zabbix-server.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-server.crt -days 1825 -sha256

På samme måde skal du generere den private nøgle og CSR for Zabbix-værten eller -agenten.

openssl genrsa -out zabbix-host1.key 2048
openssl req -new -key zabbix-host1.key -out zabbix-host1.csr

Generer nu certifikatet.

openssl x509 -req -in zabbix-host1.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-host1.crt -days 1460 -sha256

Kopier certifikaterne til Zabbix-konfigurationsmappen.

sudo mkdir /etc/zabbix/keys
sudo cp zabbix-ca.* zabbix-server.* /etc/zabbix/keys

Giv brugeren ejerskabet af certifikaterne Zabbix.

sudo chown -R zabbix: /etc/zabbix/keys

Åbn Zabbix-serverens konfigurationsfil for at opdatere stien til certifikaterne.

sudo nano /etc/zabbix/zabbix_server.conf

Find disse linjer i konfigurationsfilen og skift dem som vist.

TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-server.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-server.key

Gem filen og afslut editoren. Genstart Zabbix-serveren, så ændringen i konfigurationen kan træde i kraft.

sudo systemctl restart zabbix-server

Kopier certifikaterne ved hjælp af scpkommandoen til den værtscomputer, som du ønsker at overvåge.

cd ~/zabbix-keys
scp zabbix-ca.crt zabbix-host1.* [email protected]:~

Sørg for at erstatte 192.0.2.2med den faktiske IP-adresse på den fjernvært, som du vil installere Zabbix-agenten på.

Installer Zabbix Host

Nu hvor vi har kopieret certifikaterne til værtssystemet, er vi klar til at installere Zabbix-agenten.

Fra nu af skal alle kommandoer udføres på den vært, som du ønsker at overvåge .

Tilføj Zabbix-depotet til systemet.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Installer Zabbix-agenten i systemet.

sudo yum -y install zabbix-agent

Flyt nøglen og certifikaterne til Zabbix-konfigurationsmappen.

sudo mkdir /etc/zabbix/keys
sudo mv ~/zabbix-ca.crt ~/zabbix-host1.* /etc/zabbix/keys/

Giv Zabbix-brugeren ejerskab af certifikaterne.

sudo chown -R zabbix: /etc/zabbix/keys

Åbn Zabbix-agentens konfigurationsfil for at opdatere serverens IP-adresse og stien til nøglen og certifikaterne.

sudo nano /etc/zabbix/zabbix_agentd.conf

Find følgende linje og foretag de nødvendige ændringer for at få dem til at se ud som vist nedenfor.

Server=192.0.2.1                    # Replace with actual Zabbix server IP
ServerActive=192.0.2.1              # Replace with actual Zabbix server IP
Hostname=Zabbix host1               # Provide a appropriate name or hostname

Værtsnavnet skal være en unik streng, som ikke er specificeret for noget andet værtssystem. Notér venligst værtsnavnet, da vi skal indstille det nøjagtige værtsnavn på Zabbix-serveren.

Opdater yderligere værdierne for disse parametre.

TLSConnect=cert
TLSAccept=cert
TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-host1.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-host1.key

Genstart nu Zabbix-agenten og aktiver den til automatisk at starte ved opstart.

sudo systemctl restart zabbix-agent
sudo systemctl enable zabbix-agent

Du har konfigureret Zabbix-agenten på værtssystemet. Gennemse Zabbix administrations dashboard på for https://192.0.2.1/zabbixat tilføje den nyligt konfigurerede vært.

Gå til Configuration >> Hostsog klik på Create Hostknappen i øverste højre hjørne.

create hostAngiv værtsnavnet på grænsefladen, som skal svare nøjagtigt til det værtsnavn, der er konfigureret i værtssystemets Zabbix-agentkonfigurationsfil. For visningsnavnet kan du frit vælge, hvad du vil.

Vælg den gruppe, som du vil tilføje systemet til. Da vi kører Zabbix-agenten til at overvåge en grundlæggende Linux-server, kan vi vælge Linux-servergruppen. Du har også lov til at oprette en ny gruppe, hvis du ønsker det.

Angiv IP-adressen på værten, som Zabbix-agenten kører på. Du kan give en valgfri beskrivelse af værten.

Gå nu til Templatefanen på den nye værtsgrænseflade og søg efter skabelonen i henhold til applikationen. I vores tilfælde skal vi finde Template OS Linux. Klik på Addlinket for at tildele skabelonen til værten.

Til sidst skal du gå til Encryptionfanen og vælge Certificatefor både forbindelserne til værten og forbindelserne fra værten. På denne måde vil kommunikationen fra begge sider blive krypteret ved hjælp af RSA-certifikaterne. Den Issuerog Subjectfelter er valgfrie.

Når du er færdig, kan du klikke på Addknappen for at tilføje den nye vært til Zabbix-serveren. Efter et par minutter bliver ZBXtilgængeligheden grøn. Dette betyder, at værten er tilgængelig ved at bruge Zabbix-agenten og aktivt sender hændelser fra værtscomputeren til Zabbix-serveren.

Hvis ZBXtilgængeligheden bliver redi farve i stedet for grøn, betyder det, at der var en fejl, og at værten ikke er i stand til at sende data til serveren. I så fald skal du kigge efter fejlen i logfiler og fejlfinde fejlen i overensstemmelse hermed. Stien til Zabbix-serverloggen og Zabbix-agentloggen er /var/log/zabbix/zabbix_server.log, og/var/log/zabbix/zabbix_agentd.log .

Du kan nu overvåge værten ved at gå til monitoringfanen. Du kan se problemer, modtagne hændelser, live grafer og meget mere information på overvågningssiderne.

Konklusion

Tillykke, du har med succes implementeret en Zabbix-serverinstans og aktiveret overvågning på en fjernvært.

Du kan overvåge hele din lille eller mellemstore virksomheds infrastruktur ved hjælp af en enkelt Zabbix-instans.