ZABBIX2.2.3で質問です。ログファイル(一行内に時刻・アクセス元のIPアドレス・ファイル階層・その他を含みそれらが大量に格納されている)を解析させ、その他内に特定の文字列(ERROR等)が含まれていた場合、加えて一定時刻内に同じIPアドレスから何回もアクセスされていることを確認し、アクションを反応させたいと考えているのですが、どう設定すればよいのでしょうか?

具体的にはApache(上に設置したログインページ)やPostfix+dovecotへのセキュリティーについて監視したいのですが、いつもログを眺めるわけにはいかないので、ZABBIXである程度省力化できないか?その為のルールとしてとりあえずパスワードリスト攻撃を想定し、現状を知るための調査方法として先の条件を考えたのですが、設定方法が分からず困っています。
(※ただ、これだけではあまり意味がないでしょうから、他にもこういう設定をして、反応があったらこう対処すれば不正アクセスの監視が出来るというアドバイスを頂ければ幸いです)

ZABBIXは導入したばかりなので、そもそも使い方が間違っているのかもしれませんが、よろしくお願い致します。

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2014/04/30 16:57:44
  • 終了:2014/05/07 17:00:06

回答(1件)

id:snow0214 No.1

snow0214回答回数470ベストアンサー獲得回数1162014/04/30 19:00:58

ポイント300pt

異常ログが100件以上見つかったらアラートメールを出すようにしてはどうでしょう。

トリガー設定は次のようにします。

{Zabbix server:log[ログファイル名].regexp(エラーパターン)}>100

トリガー条件式

https://www.zabbix.com/documentation/jp/1.8/manual/config/triggers

アラートメールの設定は下の記事が参考になります。
http://www.server-world.info/query?os=CentOS_5&p=zabbix&f=5

id:halohalolin

snow0214さんありがとうございます。

トリガー条件式を見させていただきましたが、異常ログが見つかった後、avgを使って秒で割り、平均値が規定値より多いか少ないかで判定した方が、より実践的な気がします。
100回目が集中攻撃があった後のポロリ分かもしれないので。

2014/04/30 19:59:53
id:snow0214

仰るとおり、平均値を計算した方が現実的だと思います。

2014/05/03 00:05:17

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません