Kaip saugiai stebėti nuotolinius serverius naudojant „Zabbix“ „CentOS 7“.

„Zabbix“ yra nemokama atvirojo kodo įmonėms paruošta programinė įranga, naudojama sistemų ir tinklo komponentų prieinamumui stebėti. „Zabbix“ vienu metu gali stebėti tūkstančius serverių, virtualių mašinų ar tinklo komponentų. „Zabbix“ gali stebėti beveik viską, kas susiję su sistema, pvz., centrinį procesorių, atmintį, vietą diske ir IO, procesus, tinklą, duomenų bazes, virtualias mašinas ir žiniatinklio paslaugas. Jei „Zabbix“ suteikiama IPMI prieiga, ji taip pat gali stebėti aparatinę įrangą, pvz., temperatūrą, įtampą ir pan.

Būtinos sąlygos

• „Vultr CentOS 7“ serverio egzempliorius.
• Sudo vartotojas .

Šioje pamokoje naudosime 192.0.2.1kaip viešąjį Zabbix serverio 192.0.2.2IP adresą ir kaip viešąjį Zabbix pagrindinio kompiuterio IP adresą, kurį stebėsime nuotoliniu būdu. Būtinai pakeiskite visus pavyzdinio IP adreso atvejus tikraisiais viešaisiais IP adresais.

Atnaujinkite bazinę sistemą naudodami vadovą Kaip atnaujinti CentOS 7 . Kai sistema bus atnaujinta, toliau diegkite priklausomybes.

Įdiekite Apache ir PHP

Įdiegus „Zabbix web“, jis automatiškai sukuria „Apache“ konfigūraciją.

Įdiekite „Apache“, kad galėtumėte aptarnauti „Zabbix“ sąsają arba žiniatinklio vartotojo sąsają.

sudo yum -y install httpd

Paleiskite „Apache“ ir įgalinkite jį automatiškai paleisti įkrovos metu.

sudo systemctl start httpd
sudo systemctl enable httpd

Pridėkite ir įgalinkite Remisaugyklą, nes numatytojoje YUMsaugykloje yra senesnė PHP versija.

sudo rpm -Uvh http://rpms.remirepo.net/enterprise/remi-release-7.rpm
sudo yum -y install yum-utils
sudo yum-config-manager --enable remi-php71

Įdiekite naujausią PHP versiją kartu su Zabbix reikalingais moduliais.

sudo yum -y install php php-cli php-gd php-bcmath php-ctype php-xml php-xmlreader php-xmlwriter php-session php-sockets php-mbstring php-gettext php-ldap php-pgsql php-pear-Net-Socket

Įdiekite ir sukonfigūruokite PostgreSQL

PostgreSQL yra objektų santykių duomenų bazės sistema. Savo sistemoje turėsite pridėti PostgreSQL saugyklą, nes numatytojoje YUM saugykloje yra senesnė PostgreSQL versija.

sudo rpm -Uvh https://download.postgresql.org/pub/repos/yum/9.6/redhat/rhel-7-x86_64/pgdg-centos96-9.6-3.noarch.rpm

Įdiekite PostgreSQL duomenų bazės serverį.

sudo yum -y install postgresql96-server postgresql96-contrib

Inicijuoti duomenų bazę.

sudo /usr/pgsql-9.6/bin/postgresql96-setup initdb

initdb sukuria naują duomenų bazių klasterį, kuris yra vieno serverio valdomų duomenų bazių grupė.

Redaguokite, pg_hba.confkad įjungtumėte MD5 pagrįstą autentifikavimą.

sudo nano /var/lib/pgsql/9.6/data/pg_hba.conf

Raskite šias eilutes ir pakeiskite peerį trustir idnetį md5.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     peer
# IPv4 local connections:
host    all             all             127.0.0.1/32            idnet
# IPv6 local connections:
host    all             all             ::1/128                 idnet

Atnaujinus konfigūraciją turėtų atrodyti taip, kaip parodyta toliau.

# TYPE  DATABASE        USER            ADDRESS                 METHOD

# "local" is for Unix domain socket connections only
local   all             all                                     trust
# IPv4 local connections:
host    all             all             127.0.0.1/32            md5
# IPv6 local connections:
host    all             all             ::1/128                 md5

Paleiskite PostgreSQL serverį ir įgalinkite jį automatiškai paleisti įkrovos metu.

sudo systemctl start postgresql-9.6
sudo systemctl enable postgresql-9.6

Pakeiskite passwordnumatytojo PostgreSQL vartotojo.

sudo passwd postgres

Prisijunkite kaip PostgreSQL vartotojas.

sudo su - postgres

Sukurkite naują „Zabbix“ „PostgreSQL“ vartotoją.

createuser zabbix

Perjunkite į PostgreSQL apvalkalą.

psql

Nustatykite naujai sukurto „Zabbix“ duomenų bazės naudotojo slaptažodį.

ALTER USER zabbix WITH ENCRYPTED password 'StrongPassword';

Sukurkite naują „Zabbix“ duomenų bazę.

CREATE DATABASE zabbix OWNER zabbix;

Išeiti iš psqlapvalkalo.

\q

Perjungti į sudovartotoją iš dabartinio postgresvartotojo.

exit

Įdiekite „Zabbix“.

„Zabbix“ teikia „CentOS“ dvejetainius failus, kuriuos galima įdiegti tiesiai iš „Zabbix“ saugyklos. Pridėkite „Zabbix“ saugyklą prie savo sistemos.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Įdiegti Zabbix serverir Zabbix web.

sudo yum -y install zabbix-server-pgsql zabbix-web-pgsql 

Importuokite PostgreSQL duomenų bazę.

zcat /usr/share/doc/zabbix-server-pgsql-3.4.*/create.sql.gz | psql -U zabbix zabbix

Išvesties pabaigoje turėtumėte pamatyti kažką panašaus į toliau pateiktą.

...
INSERT 0 1
INSERT 0 1
COMMIT

Atidarykite Zabbix konfigūracijos failą, kad atnaujintumėte išsamią duomenų bazės informaciją.

sudo nano /etc/zabbix/zabbix_server.conf

Raskite šias eilutes ir atnaujinkite reikšmes pagal duomenų bazės konfigūraciją. Turėsite atšaukti DBHostir DBPorteilutes komentarus.

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=StrongPassword
DBPort=5432

„Zabbix“ automatiškai įdiegia „Apache“ virtualų pagrindinio kompiuterio failą. Turėsime sukonfigūruoti virtualųjį pagrindinį kompiuterį, kad atnaujintume laiko juostą ir PHP versiją.

sudo nano /etc/httpd/conf.d/zabbix.conf

Raskite šias eilutes.

<IfModule mod_php5.c>
...
#php_value date.timezone Europe/Riga

Kadangi mes naudojame PHP 7 versiją, jums taip pat reikės atnaujinti mod_phpversiją. Atnaujinkite eilutes pagal savo laiko juostą, kaip parodyta toliau.

<IfModule mod_php7.c>
...
php_value date.timezone Asia/Kolkata

Dabar iš naujo paleiskite „Apache“, kad pritaikytumėte šiuos konfigūracijos pakeitimus.

sudo systemctl restart httpd

Paleiskite „Zabbix“ serverį ir įgalinkite jį automatiškai paleisti įkrovos metu.

sudo systemctl start zabbix-server
sudo systemctl enable zabbix-server

„Zabbix“ serveris turėtų veikti dabar. Vykdydami tai, galite patikrinti proceso būseną.

sudo systemctl status zabbix-server

Modifikuokite ugniasienę, kad būtų galima naudoti standartą HTTPir HTTPSprievadą. Taip pat turėsite leisti prievadą 10051per ugniasienę, kurią naudos „Zabbix“, kad gautų įvykius iš „Zabbix“ agento, veikiančio nuotoliniuose kompiuteriuose.

sudo firewall-cmd --zone=public --permanent --add-service=http
sudo firewall-cmd --zone=public --permanent --add-service=https
sudo firewall-cmd --zone=public --permanent --add-port=10051/tcp
sudo firewall-cmd --reload

Norėdami pasiekti administravimo prietaisų skydelį, galite atidaryti http://192.0.2.1/zabbixnaudodami savo mėgstamą naršyklę. Pamatysite sveikinimo pranešimą. Kitoje sąsajoje turite atitikti visas būtinas sąlygas. Norėdami įdiegti programinę įrangą, vadovaukitės diegimo programos puslapyje pateiktomis instrukcijomis. Įdiegę programinę įrangą, prisijunkite naudodami vartotojo vardą Adminir slaptažodį zabbix. „Zabbix“ dabar įdiegta ir paruošta rinkti duomenis iš „Zabbix“ agento.

Serveryje nustatykite „Zabbix“ agentą

Norėdami stebėti serverį, kuriame įdiegtas „Zabbix“, serveryje galite nustatyti agentą. „Zabbix“ agentas surinks įvykių duomenis iš „Linux“ serverio, kad nusiųstų juos „Zabbix“ serveriui. Pagal numatytuosius nustatymus prievadas 10050naudojamas įvykiams ir duomenims siųsti į serverį.

Įdiekite „Zabbix“ agentą.

sudo yum -y install zabbix-agent

Paleiskite agentą ir įgalinkite jį automatiškai paleisti įkrovos metu.

sudo systemctl start zabbix-agent
sudo systemctl enable zabbix-agent

Ryšys tarp „Zabbix“ agento ir „Zabbix“ serverio vyksta lokaliai, todėl nereikia nustatyti jokio šifravimo.

Kad Zabbix serveris galėtų priimti bet kokius duomenis, turite įjungti host. Prisijunkite prie „Zabbix“ serverio žiniatinklio administravimo prietaisų skydelio ir eikite į Configuration >> Host. Pamatysite išjungtą „Zabbix“ serverio pagrindinio kompiuterio įrašą. Pasirinkite įrašą ir spustelėkite mygtuką „Įjungti“, kad įjungtumėte „Zabbix“ serverio programos ir bazinės „CentOS“ sistemos, kurioje įdiegtas „Zabbix“ serveris, stebėjimą.

Nustatykite agentą nuotolinėse Linux mašinose

Yra trys būdai, kuriais nuotolinis Zabbix agentas gali siųsti įvykius į Zabbix serverį. Pirmasis būdas yra naudoti nešifruotą ryšį, o antrasis – apsaugotą iš anksto bendrinamą raktą. Trečias ir saugiausias būdas yra šifruoti perdavimą naudojant RSA sertifikatus.

Prieš diegdami ir konfigūruodami Zabbix agentą nuotoliniame kompiuteryje, turime sugeneruoti sertifikatus Zabbix serverio sistemoje. Naudosime pačių pasirašytus sertifikatus.

Vykdykite šias komandas Zabbix serveryje kaip sudovartotojas .

Sukurkite naują katalogą „Zabbix“ raktams saugoti ir generuokite privatųjį CA raktą.

mkdir ~/zabbix-keys && cd ~/zabbix-keys
openssl genrsa -aes256 -out zabbix-ca.key 4096

Jis paprašys jūsų įvesti slaptafrazę, kad apsaugotų privatųjį raktą. Sukūrę privatųjį raktą, toliau generuokite CA sertifikatą.

openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt

Pateikite privataus rakto slaptafrazę. Ji paprašys jūsų pateikti šiek tiek informacijos apie jūsų šalį, valstybę, organizaciją. Atitinkamai pateikite išsamią informaciją.

[user@vultr zabbix-keys]$ openssl req -x509 -new -key zabbix-ca.key -sha256 -days 3560 -out zabbix-ca.crt
Enter passphrase for `zabbix-ca.key`:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:IN
State or Province Name (full name) []:My State
Locality Name (eg, city) [Default City]:My City
Organization Name (eg, company) [Default Company Ltd]:My Organization
Organizational Unit Name (eg, section) []:My Unit
Common Name (eg, your name or your server's hostname) []:Zabbix CA
Email Address []:[email protected]

Sėkmingai sugeneravome CA sertifikatą. Sugeneruokite „Zabbix“ serverio privatųjį raktą ir CSR.

openssl genrsa -out zabbix-server.key 2048
openssl req -new -key zabbix-server.key -out zabbix-server.csr

Vykdydami aukščiau pateiktą komandą, nenurodykite slaptafrazės, kad užšifruotų privatųjį raktą. Naudodami CSR sugeneruokite „Zabbix“ serverio sertifikatą.

openssl x509 -req -in zabbix-server.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-server.crt -days 1825 -sha256

Panašiai sugeneruokite privatųjį raktą ir CSR, skirtą „Zabbix“ prieglobai arba agentui.

openssl genrsa -out zabbix-host1.key 2048
openssl req -new -key zabbix-host1.key -out zabbix-host1.csr

Dabar sukurkite sertifikatą.

openssl x509 -req -in zabbix-host1.csr -CA zabbix-ca.crt -CAkey zabbix-ca.key -CAcreateserial -out zabbix-host1.crt -days 1460 -sha256

Nukopijuokite sertifikatus į Zabbix konfigūracijos katalogą.

sudo mkdir /etc/zabbix/keys
sudo cp zabbix-ca.* zabbix-server.* /etc/zabbix/keys

Suteikti sertifikatų nuosavybės teisę Zabbixvartotojui.

sudo chown -R zabbix: /etc/zabbix/keys

Atidarykite Zabbix serverio konfigūracijos failą, kad atnaujintumėte sertifikatų kelią.

sudo nano /etc/zabbix/zabbix_server.conf

Raskite šias eilutes konfigūracijos faile ir pakeiskite jas, kaip parodyta.

TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-server.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-server.key

Išsaugokite failą ir išeikite iš redaktoriaus. Iš naujo paleiskite „Zabbix“ serverį, kad konfigūracijos pakeitimas įsigaliotų.

sudo systemctl restart zabbix-server

Nukopijuokite sertifikatus naudodami scpkomandą į pagrindinį kompiuterį, kurį norite stebėti.

cd ~/zabbix-keys
scp zabbix-ca.crt zabbix-host1.* [email protected]:~

Įsitikinkite, kad jį pakeisite 192.0.2.2tikruoju nuotolinio kompiuterio, kuriame norite įdiegti „Zabbix“ agentą, IP adresu.

Įdiekite „Zabbix Host“.

Dabar, kai nukopijavome sertifikatus į pagrindinę sistemą, esame pasirengę įdiegti „Zabbix“ agentą.

Nuo šiol visos komandos turi būti vykdomos pagrindiniame kompiuteryje, kurį norite stebėti .

Pridėkite „Zabbix“ saugyklą į sistemą.

sudo rpm -ivh http://repo.zabbix.com/zabbix/3.4/rhel/7/x86_64/zabbix-release-3.4-1.el7.centos.noarch.rpm

Įdiekite „Zabbix“ agentą sistemoje.

sudo yum -y install zabbix-agent

Perkelkite raktą ir sertifikatus į Zabbix konfigūracijos katalogą.

sudo mkdir /etc/zabbix/keys
sudo mv ~/zabbix-ca.crt ~/zabbix-host1.* /etc/zabbix/keys/

Suteikti sertifikatų nuosavybės teisę Zabbix vartotojui.

sudo chown -R zabbix: /etc/zabbix/keys

Atidarykite Zabbix agento konfigūracijos failą, kad atnaujintumėte serverio IP adresą ir kelią į raktą bei sertifikatus.

sudo nano /etc/zabbix/zabbix_agentd.conf

Raskite šią eilutę ir atlikite reikiamus pakeitimus, kad jie atrodytų taip, kaip parodyta toliau.

Server=192.0.2.1                    # Replace with actual Zabbix server IP
ServerActive=192.0.2.1              # Replace with actual Zabbix server IP
Hostname=Zabbix host1               # Provide a appropriate name or hostname

Pagrindinio kompiuterio pavadinimas turi būti unikali eilutė, kuri nenurodyta jokiai kitai pagrindinei sistemai. Užsirašykite pagrindinio kompiuterio pavadinimą, nes turėsime nustatyti tikslų pagrindinio kompiuterio pavadinimą Zabbix serveryje.

Be to, atnaujinkite šių parametrų reikšmes.

TLSConnect=cert
TLSAccept=cert
TLSCAFile=/etc/zabbix/keys/zabbix-ca.crt
TLSCertFile=/etc/zabbix/keys/zabbix-host1.crt
TLSKeyFile=/etc/zabbix/keys/zabbix-host1.key

Dabar iš naujo paleiskite „Zabbix“ agentą ir įgalinkite jį automatiškai paleisti įkrovos metu.

sudo systemctl restart zabbix-agent
sudo systemctl enable zabbix-agent

Sėkmingai sukonfigūravote „Zabbix“ agentą pagrindinėje sistemoje. Naršykite Zabbix administravimo prietaisų skydelyje adresu, https://192.0.2.1/zabbixkad pridėtumėte naujai sukonfigūruotą pagrindinį kompiuterį.

Eikite į Configuration >> Hostsir spustelėkite Create Hostmygtuką viršutiniame dešiniajame kampe.

Dėl create hostsąsajos, pateikti pagrindinio kompiuterio pavadinimą, kuris turi būti tiksliai panašus į hostname sukonfigūruotas priimančiojoje sistemos zabbix agentas konfigūracijos failą. Rodomam vardui galite pasirinkti bet ką, ko norite.

Pasirinkite grupę, į kurią norite įtraukti sistemą. Kadangi pagrindiniam Linux serveriui stebėti naudojame Zabbix agentą, galime pasirinkti Linux serverių grupę. Jei norite, taip pat galite sukurti naują grupę.

Pateikite pagrindinio kompiuterio, kuriame veikia „Zabbix“ agentas, IP adresą. Galite pateikti pasirenkamą prieglobos aprašymą.

Dabar eikite į Templatenaujos pagrindinio kompiuterio sąsajos skirtuką ir ieškokite šablono pagal programą. Mūsų atveju turime rasti Template OS Linux. Spustelėkite Addnuorodą, kad priskirtumėte šabloną prieglobos serveriui.

Galiausiai eikite į Encryptionskirtuką ir pasirinkite Certificateryšiams su pagrindiniu kompiuteriu ir ryšiams iš pagrindinio kompiuterio. Tokiu būdu ryšys iš abiejų pusių bus užšifruotas naudojant RSA sertifikatus. IssuerIr Subjectlaukai yra neprivalomas.

Baigę galite spustelėti Addmygtuką, kad pridėtumėte naują pagrindinį kompiuterį prie „Zabbix“ serverio. Po kelių minučių ZBXpasiekiamumas taps žalias. Tai reiškia, kad priegloba pasiekiama naudojant „Zabbix“ agentą ir aktyviai siunčiant įvykius iš pagrindinio kompiuterio į „Zabbix“ serverį.

Jei ZBXpasiekiamumas tampa redspalvotas, o ne žalias, tai reiškia, kad įvyko klaida ir pagrindinis kompiuteris negali siųsti duomenų į serverį. Tokiu atveju ieškokite klaidos žurnalo failuose ir atitinkamai pašalinkite klaidą. Kelias į „Zabbix“ serverio žurnalą ir „Zabbix“ agento žurnalą yra /var/log/zabbix/zabbix_server.log, ir/var/log/zabbix/zabbix_agentd.log .

Dabar galite stebėti pagrindinį kompiuterį eidami į monitoringskirtuką. Stebėjimo puslapiuose galite peržiūrėti problemas, gautus įvykius, tiesiogines diagramas ir daug daugiau informacijos.

Išvada

Sveikiname, sėkmingai įdiegėte „Zabbix“ serverio egzempliorių ir įgalinote stebėjimą nuotoliniame pagrindiniame kompiuteryje.

Galite stebėti visą savo mažos ar vidutinės įmonės infrastruktūrą naudodami vieną Zabbix egzempliorių.