Zabbix - logfiles einlesen
-
@thomas-braun sagte in Zabbix - logfiles einlesen:
@segway
Welche Anleitung? Wie sehen die Rechte jetzt aus?
Gemeinhin wird der Zugriff auf /var/log über eine Gruppe geregelt.
adm ist das i. d. R.Sieht bei mir etwas anders aus.
Anleitung auf der Seite Zabbix nach der aktuellen 5.4er Doku.
Dort steht nur, dass man read access geben soll zu den Files. Demnach würde 600 ausreichen.Hier meine Verzeichnis:
drwxr-xr-x 14 root root 4096 8. Jan 20:42 . drwxr-xr-x 12 root root 4096 11. Nov 2018 .. -rw-r--r-- 1 root root 0 1. Jan 00:00 alternatives.log -rw-r--r-- 1 root root 278 25. Dez 11:46 alternatives.log.1 -rw-r--r-- 1 root root 1653 14. Mai 2020 alternatives.log.10.gz -rw-r--r-- 1 root root 243 29. Mär 2020 alternatives.log.11.gz -rw-r--r-- 1 root root 216 24. Nov 2019 alternatives.log.12.gz -rw-r--r-- 1 root root 359 24. Dez 10:06 alternatives.log.2.gz -rw-r--r-- 1 root root 1965 14. Nov 21:54 alternatives.log.3.gz -rw-r--r-- 1 root root 243 23. Okt 11:10 alternatives.log.4.gz -rw-r--r-- 1 root root 108 4. Jul 2021 alternatives.log.5.gz -rw-r--r-- 1 root root 216 26. Feb 2021 alternatives.log.6.gz -rw-r--r-- 1 root root 354 14. Jan 2021 alternatives.log.7.gz -rw-r--r-- 1 root root 107 29. Nov 2020 alternatives.log.8.gz -rw-r--r-- 1 root root 438 16. Aug 2020 alternatives.log.9.gz drwxr-x--- 2 root adm 4096 8. Jan 00:00 apache2 -rw-r--r-- 1 root root 9637 8. Jan 22:18 apcupsd.events drwxr-xr-x 2 root root 4096 8. Jan 13:38 apt -rw-r----- 1 zabbix root 16166782 8. Jan 23:42 auth.log -rw-r----- 1 root adm 17586858 2. Jan 00:00 auth.log.1 -rw-r----- 1 root adm 1045555 26. Dez 00:00 auth.log.2.gz -rw-r----- 1 root adm 630689 19. Dez 00:00 auth.log.3.gz -rw-r----- 1 root adm 153290 12. Dez 00:00 auth.log.4.gz -rw-rw---- 1 root utmp 1536 3. Jan 20:24 btmp -rw-rw---- 1 root utmp 0 1. Dez 00:00 btmp.1 -rw-r----- 1 root adm 14557443 8. Jan 23:42 daemon.log -rw-r----- 1 root adm 18303533 2. Jan 00:00 daemon.log.1 -rw-r----- 1 root adm 999059 26. Dez 00:00 daemon.log.2.gz -rw-r----- 1 root adm 744229 19. Dez 00:00 daemon.log.3.gz -rw-r----- 1 root adm 406492 12. Dez 00:00 daemon.log.4.gz -rw-r----- 1 root adm 28336 8. Jan 22:18 debug -rw-r----- 1 root adm 4004 26. Dez 08:32 debug.1 -rw-r----- 1 root adm 1856 25. Dez 18:59 debug.2.gz -rw-r----- 1 root adm 1024 12. Dez 17:41 debug.3.gz -rw-r----- 1 root adm 1016 6. Dez 11:23 debug.4.gz -rw-r--r-- 1 root root 7440 8. Jan 13:38 dpkg.log -rw-r--r-- 1 root root 1698 25. Dez 11:46 dpkg.log.1 -rw-r--r-- 1 root root 4641 14. Jan 2021 dpkg.log.10.gz -rw-r--r-- 1 root root 228 5. Jan 2021 dpkg.log.11.gz -rw-r--r-- 1 root root 880 29. Nov 2020 dpkg.log.12.gz -rw-r--r-- 1 root root 1130 24. Dez 10:07 dpkg.log.2.gz -rw-r--r-- 1 root root 28597 14. Nov 21:54 dpkg.log.3.gz -rw-r--r-- 1 root root 2451 23. Okt 11:11 dpkg.log.4.gz -rw-r--r-- 1 root root 2367 4. Jul 2021 dpkg.log.5.gz -rw-r--r-- 1 root root 1598 22. Apr 2021 dpkg.log.6.gz -rw-r--r-- 1 root root 538 26. Mär 2021 dpkg.log.7.gz -rw-r--r-- 1 root root 2548 26. Feb 2021 dpkg.log.8.gz -rw-r--r-- 1 root root 390 30. Jan 2021 dpkg.log.9.gz drwxr-s--- 2 Debian-exim adm 4096 8. Jan 00:18 exim4 -rw-r--r-- 1 zabbix root 32032 6. Jan 16:58 faillog drwxr-xr-x 3 root root 4096 11. Nov 2018 installer drwxr-sr-x+ 3 root systemd-journal 4096 14. Nov 21:40 journal -rw-r----- 1 root adm 421268 8. Jan 22:18 kern.log -rw-r----- 1 root adm 60110 29. Dez 20:42 kern.log.1 -rw-r----- 1 root adm 39221 25. Dez 18:59 kern.log.2.gz -rw-r----- 1 root adm 13077 12. Dez 17:41 kern.log.3.gz -rw-r----- 1 root adm 13025 6. Dez 11:23 kern.log.4.gz -rw-rw-r-- 1 root utmp 292292 8. Jan 23:42 lastlog drwxr-x--- 2 www-data www-data 4096 2. Jan 00:00 lighttpd -rw-r-----+ 1 600 root 397034 8. Jan 22:18 messages -rw-r----- 1 root adm 56774 29. Dez 20:42 messages.1 -rw-r----- 1 root adm 38158 25. Dez 18:59 messages.2.gz -rw-r----- 1 root adm 12595 12. Dez 17:41 messages.3.gz -rw-r----- 1 root adm 12516 6. Dez 11:23 messages.4.gz drwxr-xr-x 2 mongodb mongodb 4096 16. Jun 2019 mongodb drwxr-xr-x 2 ntp ntp 4096 23. Sep 2020 ntpstats drwxr-xr-x 2 pihole pihole 4096 11. Nov 2018 pihole -rw-r--r-- 1 root pihole 25492 13. Apr 2019 pihole_debug.log -rw-r--r-- 1 root root 24583 13. Apr 2019 pihole_debug-sanitized.log -rw-r--r-- 1 pihole pihole 42734 8. Jan 23:34 pihole-FTL.log -rw-r--r-- 1 pihole pihole 8923 8. Jan 00:00 pihole-FTL.log.1 -rw-r--r-- 1 pihole pihole 6879 7. Jan 00:00 pihole-FTL.log.2.gz -rw-r--r-- 1 pihole pihole 1254 6. Jan 00:00 pihole-FTL.log.3.gz -rw-r--r-- 1 pihole pihole 46233931 8. Jan 23:42 pihole.log -rw-r--r-- 1 pihole pihole 51927464 8. Jan 00:00 pihole.log.1 -rw-r--r-- 1 pihole pihole 3027037 7. Jan 00:00 pihole.log.2.gz -rw-r--r-- 1 pihole pihole 2244855 6. Jan 00:00 pihole.log.3.gz -rw-r--r-- 1 pihole pihole 2560980 5. Jan 00:00 pihole.log.4.gz -rw-r--r-- 1 pihole pihole 3283172 4. Jan 00:00 pihole.log.5.gz -rw-r--r-- 1 root root 19373 2. Jan 04:13 pihole_updateGravity.log drwx------ 2 root root 4096 14. Mai 2020 private drwxr-xr-x 3 root root 4096 14. Nov 21:39 runit -rw-r----- 1 zabbix root 15755278 8. Jan 23:42 syslog -rw-r----- 1 root adm 19130250 2. Jan 00:00 syslog.1 -rw-r----- 1 root adm 1134934 26. Dez 00:00 syslog.2.gz -rw-r----- 1 root adm 827356 19. Dez 00:00 syslog.3.gz -rw-r----- 1 root adm 462984 12. Dez 00:00 syslog.4.gz -rw-r----- 1 root adm 71499 9. Nov 00:00 syslog.6.gz -rw-r----- 1 root adm 71226 7. Nov 23:57 syslog.7.gz -rw-r----- 1 zabbix root 0 25. Dez 00:00 user.log -rw-r----- 1 root adm 4928 24. Dez 10:06 user.log.1 -rw-r----- 1 root adm 653 14. Nov 21:47 user.log.2.gz -rw-r----- 1 root adm 653 23. Okt 11:11 user.log.3.gz -rw-r----- 1 root adm 876 4. Jul 2021 user.log.4.gz -rw-rw-r-- 1 root utmp 1076736 8. Jan 23:42 wtmp -rw-rw-r-- 1 root utmp 5748864 31. Dez 23:58 wtmp.1 drwxr-xr-x 2 zabbix zabbix 4096 8. Jan 20:56 zabbix-agentIch hab die Datei mal nach /tmp kopiert
Access geht erst bei 777 -
Aber in den Anleitungen steht doch auch drin, dass die das über Gruppen machen. Willst du da jetzt 777 rekursiv drüberschütten oder was hast du vor?
Dort steht nur, dass man read access geben soll zu den Files. Demnach würde 600 ausreichen.
Demnach würde es ausreichen, wenn der user zabbix in der Gruppe adm wäre. Die dürfen ja lesen.
-
@thomas-braun sagte in Zabbix - logfiles einlesen:
Aber in den Anleitungen steht doch auch drin, dass die das über Gruppen machen. Willst du da jetzt 777 rekursiv drüberschütten oder was hast du vor?
Nee, eben nicht. Das ist ja ein NoGo.
den User "Zabbix" habe ich schon der adm Gruppe hinzugefügt. Hilft auch nix.
Ich bin da ratlos wie das gehen soll -
Ich werde mir das jetzt nicht zum testen installieren. Meine 2,5 Raspberry hab ich auch ohne so'n Monster im Blick.
-
@thomas-braun sagte in Zabbix - logfiles einlesen:
Ich werde mir das jetzt nicht zum testen installieren. Meine 2,5 Raspberry hab ich auch ohne so'n Monster im Blick.
Verständlich.
Bei mir ist es bissen mehr und hab kein Bock meh alles über die Konsole zu machen. Das Tool ist schon recht nice.....aber irgendwie komm ich da nicht weiter
-
@thomas-braun
Hast du das denn laufen oder kannst mir einen Tip geben wie ich das anstellen soll ?
Im Moment kommen mal wieder gar keine Logs -
@segway
Öh, nee. Warum sollte ich das bei meinen zwei bis drei Serverchen laufen haben? -
@thomas-braun
Ne gut, war ja nur eine Frage.
Also die Files kann ich mit 777 lesen.
Ich kann doch nicht den User zabbix nach root knallen ? Das macht doch keinen Sinn -
@segway sagte in Zabbix - logfiles einlesen:
Also die Files kann ich mit 777 lesen.
Das würde ich partout nicht machen. Und das geht mit Sicherheit auch sauber. In welchen Gruppen ist denn der zabbix drin?
-
@thomas-braun sagte in Zabbix - logfiles einlesen:
@segway sagte in Zabbix - logfiles einlesen:
Also die Files kann ich mit 777 lesen.
In welchen Gruppen ist denn der zabbix drin?
Momentan gibt es eine Zabbix Gruppe wie ich das sehe und ich hab Zabbix in adm reingenommen
-
-
dirk@Zabbix:/var/log$ sudo -u zabbix groups zabbix -
@segway
Dann ist der nicht in adm drin.
Da ich aber nicht weiß wie das genau tickt bzw. ticken soll will ich da auch nix raten.
Jedenfalls kann der zabbix user nix außer in seinem Zuhause herumspuken. -
Sorry war auf dem falschen Server. Passiert bei den ganzen Rechner
dirk@pihole:/var/log$ sudo -u zabbix groups zabbix adm pihole -
@segway zeig mal sicherheitshalber wie dein Item aussieht, also den Eintrag aus Key, Type und Type of information.
Gerne zusätzlich einen Scrrenshot des Dialogs.Wenn du den Zabbix-Agenten auf einem System installiert hats (am besten über das von Zabbix eingebundene Repo wie den Server selbst auch) kannst du auf diesem ja mal probeweise zum Benutzer zabbix wechseln und prüfen was der kann oder nicht kann:
sudo -u zabbix /usr/bin/bashDann hast du eine normale Bash und kannst testen
Hinweis: Der Typ müsste Zabbix agent (active) sein, der Updateintervall sollte Ausnahmsweise eher sehr klein sein
-
@bananajoe
Puh, hab mal jetzt nochmal die Doku gelesen. Ist für mich alles verwirrend.Für das System (also sprich ssh login denke ich ist damit gemeint) ist vorgesehen:
root:zabbixAlso gibts gar kein User Zabbix ?
Zabbix frontend
Admin:zabbix -
@segway Du hast doch den Zabbix-Agenten auf dem Zielsystem installiert?
Der Agent ist quasi bei allen Linux-Distributionen mit an Board, wenn der der in der Version Älter ist als dein Server oder Proxy ist das egal (neue Features fehlen dann halt).
Ich binde gerne die Zabbix-Repos ein und habe den Agent in der gleichen Version wie den Server.In 99 von 100 Fällen wird dabei ein Benutzer "zabbix" engerichtet unter welchem der Dienst auch läuft. Er kann auch dazu gebracht werden als root zu laufen, aber dann hättest du dein Zugriffsproblem ja gar nicht. Und dann gibt es auch einen Benutzer zabbix, also ein Linux Benutzer. Du meldest dich per SSH (puTTY?) am System an und kannst mit meiner obigen Zeile auf den meisten Linux-Systemen zum Benutzer zabbix wechseln. Du wird dich nicht direkt als zabbix-Benutzer Anmelden können:
nichtderroot@iobroker:~$ cat /etc/passwd | grep zabbix zabbix:x:115:118::/var/lib/zabbix/:/usr/sbin/nologinIch hoffe nicht das du deinen eingeschränkten Benutzer mit dem Namen "zabbix" angelegt hast. Dann müsste ich auch erst einmal überlegen.
Du kannst auch persudo ps -aux | grep zabbixdie eine Prozessliste anzeigen lassen, in der ersten Spalte steht unter welchem Benutzer Zabbix läuft.
Der Admin ist der Web-Benutzer dessen Zugangsdaten in der Zabbix-Datenbank stehen und hat nichts mit dem Linux-Benutzern zu tun.
Genau genommen muss man trennen: Es gibt den Zabbix-Server, da läuft der Prozess der die Daten sammelt und in die Datenbank schreibt.
Das Zabbix Webinterface ist davon unabhängig. Es greift zwar auch auf die Datenbank zu, hat aber nicht mit den Datensammeln zu tun. Änderungen werden von dem Webinterface in die Datenbank geschrieben und der Server-prozess merkt nach (default) spätestens 60 Sekunden das sich was geändert hat und setzt das dann um.natürlich kann man beides auf einem Server installieren
Aber auch auftrennen/skalieren in Webinterface, Server und Proxys (und die Datenbank kann auch auf einen extra Server) -
@BananaJoe
Ich habe den zabbix-agent über die Repro installiert ja.Hier der Output:
dirk@pihole:~$ cat /etc/passwd | grep zabbix zabbix:x:109:116::/nonexistent:/usr/sbin/nologinHier die Prozesse:
dirk@pihole:~$ sudo ps -aux | grep zabbix zabbix 8217 0.0 0.4 16452 2296 ? Ss 00:00 0:00 /usr/sbin/zabbix_agentd --foreground zabbix 8220 0.0 0.4 16452 2004 ? S 00:00 0:15 /usr/sbin/zabbix_agentd: collector [idle 1 sec] zabbix 8221 0.0 0.4 16452 2104 ? S 00:00 0:18 /usr/sbin/zabbix_agentd: listener #1 [waiting for connection] zabbix 8222 0.0 0.4 16452 2100 ? S 00:00 0:18 /usr/sbin/zabbix_agentd: listener #2 [waiting for connection] zabbix 8223 0.0 0.4 16452 2104 ? S 00:00 0:18 /usr/sbin/zabbix_agentd: listener #3 [waiting for connection] zabbix 8224 0.0 0.4 16712 2236 ? S 00:00 0:18 /usr/sbin/zabbix_agentd: active checks #1 [idle 1 sec] dirk 72425 0.0 0.1 6200 664 pts/0 S+ 14:34 0:00 grep zabbixIch habe aber folgendes jetzt ausprobiert:
meine Logs sind ja historisch geboren und somit seeeeehr gross. Ich habe nun den Befehl SKIP eingebaut und zudem die Anzahl an zu lesenden Zeilen erhöht.
Damit konnte ich mittlerweile mit den Berechtigungen auf 444 runtergehen ! Er liest das immer noch !
Verstehen tue ich das grad nichtlog[/var/log/pihole.log,,,500,skip] -
@segway Der Agent merkt sich wo in der Datei er ist. Klar bei sehr großen Dateien kann das ganze zuviel sein, es gibt auch ein Limit wie viele Daten auf einmal an der Server gesendet werden.
Ist er erst einmal am Ende werden nur noch neue Dinge beachtet.Das 2. Limit ist die Zeit. Ab Werk müsste in der Agenten-Konfigurationsdatei etwas von Timeout=3 stehen.
Das heißt das nichts länger als 3 Sekunden dauern darf. Den Wert kann man bis zu 30 Sekunden hochsetzen. Alles was länger dauert wird gnadenlos abgewürgt. Das sollte dann aber auch als Fehlermeldung auf dem Zabbix-Server erscheinen (Ansicht Items, ganz rechts das Fehlersymbol wenn man mit dem Mauszeiger drüber geht).Ich habe auch etwas gebraucht um Zabbix zu verstehen. Es war aber schon nach kurzer Zeit sympathischer als Nagios.
Wenn man den Aufbau (Host, Items, Trigger) erst einmal drin hat geht es aber. War bei ioBroker am Anfang auch nicht anders -
Ja genau,
ich muss wie andere Sachen auch erst einmal verstehen wie das ganze funktioniert.
Nun habe ich alle Daten bzw. Logs eingelesen aber im Server-Log stehen trotzdem komische Meldungen drin obwohl ich die Daten habe.....ich blick da noch nciht durch !435:20220109:141301.355 item "Zabbix:log[/var/log/pihole.log,,,500,skip]" became not supported: Cannot obtain information for file "/var/log/pihole.log": [2] No such file or directory 435:20220109:141302.408 item "Zabbix:log[/var/log/pihole.log,,,500,skip]" became supportedDie Syslog liest er nicht ein
Permission denied - trotz 777:433:20220109:141357.306 item "Zabbix:log[/var/log/syslog,error,,500,skip]" became not supported: Cannot open file "/var/log/syslog": [13] Permission deniedLaut zabbix ist alles gut mit den Logs:
