[linux运维] 利用zabbix监控linux高危命令并发送告警（基于Zabbix 6）

之前写过一篇是基于zabbix 5.4的实现文章，但是不太详细，最近已经有两个小伙伴在zabbix 6上操作，发现触发器没有str函数，所以更新一下本文，基于zabbix 6

0x01 来看看效果

高危指令出发问题告警：

发出邮件告警：

通过历史记录回溯用户指令

0x02 如何实现命令记录？

1）Linux操作系统可以通过history命令查询执行的历史命令信息

2）BASH在每次显示PS1之前都会执行PROMPT_COMMAND定义的内容 -- 可以理解为，每次用户在命令行点击一个回车之后，PROMPT_COMMAND都会被执行一次

3）利用上面两个特性，就可以实现命令行的记录

实现：修改Linux系统的/etc/bashrc文件

# 创建命令行记录文件
log_file=/var/log/cmd.log
# 如果是root的话就创建文件
if [[ $UID -eq 0 ]];then# 判断文件是否存在，不存在就创建if [ ! -f $log_file ]thentouch $log_filechmod 777 $log_filechattr +a $log_filefi
fi
# 定义PROMPT_COMMAND的内容为函数__set_prompt
export PROMPT_COMMAND=__set_prompt
# 定义PROMPT_COMMAND变量为只读变量
readonly PROMPT_COMMAND
# 定义最后一个history id
Last_Hit_Num=`history 1 | awk '{print $1}'`
__set_prompt (){local EXIT=$? # 定义命令执行的结果  # 获取本次命令执行的history idexport Cur_HIT_NUM=`history 1 | awk '{print $1}'`  # 如果本次执行的命令和上次执行的命令一样，则id没有变化，不需要进行记录# 如果这里不处理，空白回车也会导致记录，记录的值就是上次执行的命令if [[ $Cur_HIT_NUM -ne $Last_Hit_Num ]];then# 判断命令是否执行成功if [[ $EXIT -ne 0 ]];thenecho "执行时间：$(date '+%y-%m-%d %T') 用户：$(who am i | awk "{print \$1\" \"\$2\" \"\$5}") 当前目录：$(pwd) 执行命令：$(history 1 | sed 's/^[ \t]*//g' | cut -d " " -f2-) 执行失败" >>$log_fileelseecho "执行时间：$(date '+%y-%m-%d %T') 用户：$(who am i | awk "{print \$1\" \"\$2\" \"\$5}") 当前目录：$(pwd) 执行命令：$(history 1 | sed 's/^[ \t]*//g' | cut -d " " -f2-) 执行成功" >>$log_filefifi# Cur_Hit_Num赋值给Last_Hit_Numexport Last_Hit_Num=$Last_Hit_Numreturn $EXIT
}

退出用户重新登录，或者source一下/etc/bashrc使之生效。

查看记录是否成功

0x03 在Zabbix上配置监控

1）创建一个模板Linux_Securtiry

2）创建监控项Linuxshell

键值是：logrt[/var/log/cmd.log,,,,,,,,]

3）新建一个触发器（触发告警）,添加表达式

4）监控项选择上面创建的监控项，功能选择find()，O为匹配模式，我们用like，和数据库中的like是一样的意思，V是需要匹配的值，结果为1，填完之后点插入即可。

插入之后就会生成一条表达式

find(/Linux_Security/logrt[/var/log/cmd_log,,,,,,,,],,"like"," rm ")=1

如果要匹配多个命令，可以复制表达式，使用or连接，如：

find(/Linux_Security/logrt[/var/log/cmd_log,,,,,,,,],,"like"," rm ")=1 or
find(/Linux_Security/logrt[/var/log/cmd_log,,,,,,,,],,"like"," touch ")=1 or 
find(/Linux_Security/logrt[/var/log/cmd_log,,,,,,,,],,"like"," vi ")=1

最后把问题时间生成模式设置为多重即可。