Apostila Monitoramento de S.O's e Logs

Monitoramento de Redes com o
Zabbix
Diego da Silva Monte / diegodasilvamonte@gmail.com / 8530112900 / 8594178177
4468
www.4linux.com.br
Projetos na sua empresa

com a qualidade dos treinamentos
ence
Business Intelig lx8
F
u/
.m
va
http://
BPM
http://va.mu/EuiT
Servidor Java EE
http://va.mu/FlyB
PostgreSQL
http://va.mu/EuhV
Monitoramento
http://va.mu/EukN
Virtualizao
http://va.mu/Flxl
Groupware Yj
u/FN
http://va.m
Backup
http://va.mu/Flxr
Auditoria e Anlise
http://va.mu/Flxu
Segurana
http://va.mu/Flxy
Ensino Distncia
http://va.mu/Flxc
Integrao Continua
http://va.mu/FlyD
GED - ECM
http://va.mu/Flx3
Alta Disponibilidade
http://va.mu/FNbL
Infraestrutura Web
http://va.mu/Flxi
Implantao garantida
http://va.mu/GcFv
Contedo
8 Monitoramento de S.Os e Logs
8.1 Checar os servios pelo agente . . . . . . . . . . . . . . . . . . . . . . .
8.2 Verificar os processos ativos na memria . . . . . . . . . . . . . . . . .
8.3 Checar as portas e os servios via agente . . . . . . . . . . . . . . . . .
8.4 Monitorar os S.Os . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

8.4.1 Tempo on-line do S.O. . . . . . . . . . . . . . . . . . . . . . . . . 14
8.4.2 Espao disponvel em disco . . . . . . . . . . . . . . . . . . . . . 17
8.4.3 Memria
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
8.4.4 Processamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
8.5 Monitoramento de Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
8.5.1 Monitoramento em ambiente Linux . . . . . . . . . . . . . . . . . 32
8.5.2 Monitoramento em ambiente Windows . . . . . . . . . . . . . . . 36
Captulo 8
Monitoramento de S.Os e Logs
8.1 Checar os servios pelo agente
Checar se um determinado servio est em funcionamento atravs de sua porta
funcional, mas algumas vezes precisamos de mais informaes do que exatamente
ocorreu no host.
Imagine que por exemplo ao invs de queda do daemon, um sistema proteo
como o OSSEC barrou acidentalmente a porta de destino de hosts legtimos como
o prprio servidor de monitoramento. Isso no foi uma queda de servio e outros
hosts podem ainda no conseguir se conectar. Para detectar este tipo de coisa
precisamos de mais dados sobre o sistema onde o servio est sendo executado e
podemos faz-lo atravs do agente do Zabbix.
8.2 Verificar os processos ativos na memria

O Zabbix tem uma key chamada proc.num que pode ser usada para verificar o
nmero de processos na memria. Se usada sem nenhum parmetro ela faz uma
contagem de todos os processos sem discriminao, para exemplificar o uso dele
vamos verificar se o processo do Apache est na memria da mquina WEB Server.
A sintaxe da chave a seguinte (todos os parmetros so opcionais):
proc . num [ < name > , < user > , < state > , < cmdline >]
4Linux - www.4linux.com.br
Onde, name: o nome do processo. Se voc estiver checando processos numa
mquina Windows, certifique-se que o processo dele contm a extenso .exe (ou
similar) no final do nome.
user: qual o usurio que est executando um determinado processo ou conjunto de
processos. O padro verificar de todos os processos.
state: qual o estado do processo. Podendo ser all (padro), run, sleep ou zombie (este ltimo somente em ambientes *nix).
cmdline: filtra pela linha de comando. Isso til para aplicaes que sempre iniciam
o mesmo processo, como o java.
Em nossa prtica atual, o nico parmetro relevante o primeiro, pois vamos buscar
apenas um processo bem definido dentro da memria (o daemon do Apache2).
Para descobrir qual o processo usaremos o comando ps.
EXECUTE NA MQUINA WEB SERVER FILIAL SP:
root@webserver :~ # ps uax | grep httpd -i
root
1069
0.3
7.0
52612
9884 ?
Ss
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
usr / sbin / httpd

3
apache
1071
0.0
usr / sbin / httpd

4
apache
1072
0.0
usr / sbin / httpd

5
apache
1073
0.0
usr / sbin / httpd

6
apache
1074
0.0
usr / sbin / httpd

7
apache
1075
0.0
usr / sbin / httpd

8
apache
1076
0.0
usr / sbin / httpd

9
apache
1077
0.0
usr / sbin / httpd

10
apache
1078
0.0
usr / sbin / httpd
Monitoramento de Redes com o Zabbix
11
root
1080
0.0
0.5
4364
796 pts /0
S+
11:57
0:00
grep httpd -i
O primeiro processo o daemon e o segundo o prprio grep na memria que

usamos na linha de comando e portanto pode ser ignorado. Note que o nome do
processo httpd. Com isso em mos, podemos ser mais pontuais com o ps,
a opo -C pouco conhecida e usada, lista apenas os processos com o nome
indicado. Ela incompatvel com as opes a e x, por isso usaremos em combinao com a u, apenas.
root@webserver :~ # ps u -C httpd | grep -v ^ USER
root
1069
0.0
7.0
52612
9884 ?
Ss
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
3.2
52612
4552 ?
11:57
0:00 /
usr / sbin / httpd

3
apache
1071
0.0
usr / sbin / httpd

4
apache
1072
0.0
usr / sbin / httpd

5
apache
1073
0.0
usr / sbin / httpd

6
apache
1074
0.0
usr / sbin / httpd

7
apache
1075
0.0
usr / sbin / httpd

8
apache
1076
0.0
usr / sbin / httpd

9
apache
1077
0.0
usr / sbin / httpd

10
apache
1078
0.0
usr / sbin / httpd
Em distribuies baseadas em Debian, o nome do processo do Apache tem

o nome apache2, e distribuies baseadas em RedHat o nome httpd.
Guarde est opo do ps, voc vai precisar dela no futuro.
Alterne para a mquina Firewall Filial SP e execute o comando zabbix_get para

coletar a informao da chave.
root@fw - filialsp :~ # zabbix_get -s 192.168.150.53 -k " proc . num [ httpd

]"
<-
A chave retornou 9, que exatamente o nmero de processos que contamos com

o ps. Com o teste concludo vamos criao do item e trigger.
Antes crie um novo template com o nome Dexter - Apache2 adicionando o WEB
Server Filial SP conforme o exemplo abaixo:
Figura 8.1: Template Dexter - Apache2
E um macro com o nome do processo do Apache conforme o exemplo abaixo:
Figura 8.2: Template Dexter - Apache2
Em seguida crie um novo item conforme o exemplo abaixo:
Figura 8.3: Criando item do apache2
No Overview, j podemos rastrear o funcionamento da contagem de processos.
Figura 8.4: Itens Coletados da mquina Web Server
Com os dados sendo coletado j podemos criar um trigger, clicando no link Triggers -> Create new trigger.
Figura 8.5: Criando trigger do apache2
Figura 8.6: Criando trigger do apache2
1) A condio do trigger bem padro em relao aos nossos gatilhos anteriores:

use a funo sum() para descobrir se algum processo est rodando na janela de
tempo de 1 minuto.
2) Ele deve depender da checagem de agente porque no h sentido em testar uma
mtrica que depende dela mesmo. Alm disso se no o fizermos est trigger vai
resultar em um unknown se o agente cair.
3) A severidade deste incidente vai ser classificada como Disaster pois o Apache2
um servio prioritrio para o funcionamento das aplicaes.
Salve o trigger e v at o console do host WEB Server Filial SP e pare o servio
do Apache.
root@webserver :~ # service httpd stop
Acesse a lista de eventos em Monitoring -> Events para acompanhar a ativao do

trigger.
Figura 8.7: Verificando estado do trigger
Para terminar inicie o servio do Apache na mquina WEB Server Filial SP, e apos
alguns segundos verifique a caixa de entrada do usurio suporte-filialsp.
root@webserver :~ # service httpd start
Figura 8.8: E-mails enviados apos os testes no Apache
8.3 Checar as portas e os servios via agente

A key net.tcp.listen[80] ir verificar se a porta 80 do nosso Apache est no ar. Crie
o item conforme a Figura a seguir.
Figura 8.9: Criando item de porta do apache2
No esquea de criar a macro {$APACHE_PORT} no template Dexter - Apache2
Figura 8.10: Criando macro para item
Aps a criao do item, verifique se a coleta est sendo realizada. Se tudo estiver
correto, hora de passar para a verificao das mudanas de status.
At o momento temos 3 maneiras de checar o servio: contando os processos ativos
na mquina, checando a porta remotamente pelo servidor do Zabbix e/ou checando
a porta localmente pelo agente do Zabbix.
Todas tem suas vantagens e desvantagens, mas em vez de us-las de forma discriminada, vamos juntar a fora de todas elas e fazer com que a lgica de todos os gatilhos trabalhem em conjunto. Essa capacidade de oferecer dependncia entre uma
checagem e outra que o Zabbix oferece de extremo poder, e mesmo sem expresses booleanas complexas dentro de cada trigger seremos capazes de determinar
qual o possvel acontecimento, dependendo de qual trigger foi ativado. Acompanhe
a explicao a seguir, comeando pela leitura do fluxograma na figura.
Figura 8.11: Fluxograma
O primeiro trigger (cada um representado pelo losango) o que criamos anteriormente para verificar se h, ao menos, um processo httpd sendo executado. No
caso de no haver nenhum, ele deve alertar o administrador responsvel pelo servio. Note que se realmente no h nenhum tipo de processo do servio sendo
executado, ento no h sentido em verificar portas, correto?
10
O segundo, a anlise da porta localmente a partir do agente, se no h processos
escutando na porta a partir da prpria mquina local ento o processo master da
aplicao provavelmente caiu. Note que se voc parar o apache2 pelo servio de
boot as conexes que esto em andamento no so interrompidas! Logo possvel
ter uma situao onde h processos httpd na memria que esto apenas atendendo
a conexes que foram estabelecidas anteriormente queda do processo principal e
s vo morrer se ests conexes forem encerradas.
Esse tipo de comportamento muito comum em servios que so baseados em
forks, como o Apache, o prprio Zabbix, muitos daemons escritos em Perl, etc.
Programas que trabalham puramente com threads, como as aplicaes feitas em
java, incluindo aqui o Tomcat e o JBoss tem um processo monoltico e no seguem
est regra.
Finalmente, o terceiro trigger checa se servidor consegue abrir uma conexo com a
porta remotamente. No caso de um bloqueio por filtro de pacotes no host de destino
ou no meio do caminho, ou falhas de rotas, este gatilho ativado. Este caso cobre
a ocorrncia do daemon estar em perfeito funcionamento mas os pacotes de rede
no estarem alcanando o destino (ou no esto voltando apropriadamente).
Como o terceiro s checado se o segundo estiver com status OK, e este ltimo se
o primeiro estiver com status OK, o Zabbix no gasta processamento com os trs
gatilhos, a menos que tudo esteja na mais perfeita ordem. Se um dos primrios
falharem ento os outros no sero executados.
Obviamente pode haver muito mais tipos de problemas, que vo alm da

contagem de processos e verificao de portas. Um binrio corrompido pode
causar quedas de conexes legtimas alguns segundos depois de serem estabelecidas pelo servio, ou ainda ele pode sempre retornar um erro na cara do cliente sem
sair completamente do ar. Para estes casos continue empilhando outras checagens
aps verificar ests trs que geralmente esto sempre perto da base.
Vamos continuar com nossa prtica e criar a Trigger para checar se a porta 80 esta
acessvel na mquina Web Server Filial SP.
11
Figura 8.12: Trigger para verificar a porta 80
Nesta tarefa vamos criar uma dependncia o trigger da contagem de processos.
Figura 8.13: Dependncia de Trigger
Outro ponto importante que sua janela de tempo de 70 segundos (10 a mais que
o anterior), est folga evita que ambos sejam ativados simultaneamente.
12
Figura 8.14: Resultado Final
Deixar uma margem entre 10 e 5 segundos na janela de um trigger que

depende de outro uma boa prtica.
Para testar o gatilho, altere a porta do Apache no servidor WEB Server Filial SP e
reinicie o servio do Apache.
root@webserver :~ # sed -i s /80/8080/ / etc / httpd / conf / httpd . conf
root@webserver :~ # service httpd restart
Aguarde at receber o aviso sonoro e altere a porta para o valor padro.
root@webserver :~ # sed -i s /8080/80/ / etc / httpd / conf / httpd . conf
root@webserver :~ # service httpd restart
Apos alguns minutos verifique a caixa de entrada do usurio Aluno
13
Figura 8.15: E-mails enviados apos os testes no Apache
8.4 Monitorar os S.Os

8.4.1 Tempo on-line do S.O.
Vimos anteriormente que o Zabbix alertou uma queda de host quando nosso trigger
ICMP estava realizando uma checagem ruim sem janela de tempo. Ao concertar este
comportamento deixamos de saber quando um host foi reiniciado.
Primeiro vamos ao problema prtico que temos em mos: temos que medir o tempo
de uptime de todos os hosts Gnu/Linux. Isso nos d dois casos de coleta: pelo
agente normal e pelo SNMP.
Isso vai demonstrar como o sistema do Zabbix consegue lidar com ambiente heterogneos e vai demonstrar que depois da coleta o tratamento, armazenamento e
anlise no muda.
O primeiro passo analisar o retorno dos valores via console. Isso importante
14
para que tenhamos parmetros de tipos de dados (inteiros, float); nome correto das
keys, OIDs, etc e acesso.
O agente do Zabbix possui uma key chamada system.uptime que retorna o tempo
desde o ltimo boot.
EXECUTE NA MQUINA FIREWALL FILIAL SP:
root@fw - filialsp :~ # zabbix_get -s 192.168.150.1 -k " system . uptime "
O comando retornou um valor inteiro, representando o uptime do sistema. O Agente

do zabbix nos retornou um valor em segundos, ento para no termos que ficar
analisando os segundos precisaremos tratar esse dado no momento da coleta.
Vamos coletar o dado do agente do Zabbix. No template Disponibilidade de ativos
na rede Dexter crie um novo item conforme a seguir.
Figura 8.16: Item de uptime
15
Figura 8.17: Item de uptime
1) Description: Defina a descrio, conforme a figura.

2) Key: Como usamos no comando zabbix_get, a chave system.uptime vai coletar
o tempo de funcionamento do host.
3) Units: Este campo permite que faamos algumas personalizaes no tratamento
da sada do item no Overview e grficos. Embora similar ao Values maps ele
mais sofisticado, pois formata a sada conforme necessrio em vez de simplesmente
dar um apelido para uma tabela de valores. Neste caso use o uptime.
4) New application: defina um novo application para os items de sistema.
Salve o item e v at o Monitoring -> Overview
Figura 8.18: Resultado do item de uptime
16
Graas ao campo Unit todas esto exibindo o tempo em um formato legvel por
humanos e o campo Use custom multiplier ajustou os valores para segundos,
que uma unidade com a qual o Zabbix sabe trabalhar.
8.4.2 Espao disponvel em disco

Um item extremamente crtico que pode causar paradas de servios abruptamente,
o espao disponvel em disco.
Vrios daemons simplesmente saem de funcionamento porque no so capazes de
escrever em parties de logs, e bancos de dados e pastas de usurios sempre
podem exceder as estimativas previstas. Por isso importante que verifiquemos
ambas as parties de sistema e de dados dentro de um servidor.
Como exemplo iremos criar uma verificao da raiz nos Gnu/Linux. Outro ponto
que nos servidores sempre existem vrias parties, e por isso temos que ter
mltiplos itens para cobrir todos os casos e deixar margem, atravs de macros,
para parties com nomes personalizados pelo administrador.
Por fim, desta vez teremos que coletar vrias mtricas (ao menos trs) para criao
dos grficos e triggers. Espao livre, usado e total.
Existem outras mtricas como porcentagem utilizada e livre do disco (pfree
e pused), alm de itens baseados em inodes. Consulte o manual do
Zabbix para mais detalhes.
Vamos criar os item agora, a key vfs.fs.size[mount_point, mode], diferente das anteriores exige parmetros para funcionar. O primeiro obrigatrio e indica qual das
parties devem ser analisada. O segundo opcional e diz qual parmetro deve
ser coletado. Os valores possveis so: total (bytes totais da partio. o tipo padro), used (bytes utilizados), free (bytes livres), pused (porcentagem utilizada)
e pfree (porcentagem livre).
Vamos usar apenas os trs primeiros, comeando pelo espao livre em um novo
template para a empresa Dexter. Antes de iniciar remova do host Gateway Matriz
todos as regras de discovery, em Configuration -> Hosts -> Link Discovery. Feito
isso, crie o novo template Dexter - Disk Space e adicione nele o host Gateway
17
Matriz.
Figura 8.19: Template para coletar informaes do disco
Em seguida crie o primeiro Item conforme o exemplo abaixo:
18
Figura 8.20: Item de disco espao livre
O agente no verifica se o diretrio colocado no parmetro a raiz de um

ponto de montagem. No caso de no ser, ele continuar obtendo o valor do
espao da partio como um todo (pense nele como um df ao invs de um comando
du.
1) Name: Uma vez que estamos usando parmetros na key, podemos captur-los e
inseri-los no description usando a notificao $n, onde n o nmero do parmetro comeando por 1. Em nosso exemplo usaremos $1 para pegar o ponto de
montagem da partio. Isso alivia bastante a digitao, pois os outros items que
iremos clonar no precisam ter descriptions muito diferentes.
2) Key: a chave de espao conforme explicado anteriormente. Para o espao livre
sua sintaxe final vfs.fs.size[/,free].
3) Units: b representa valores em bytes. O Zabbix inteligente o suficiente
para fazer as converses para kilo, mega, giga, tera, etc. Usando mltiplos
de 1024.
Salve o item e ao invs de criar o prximo item no brao, vamos usar um recurso
de clonagem de valores do Zabbix. Vrias telas permitem que usemos o recurso de
19
clonagem. Neste caso vamos clonar o total para usado e livre, conforme o esquema
na figura abaixo.
Edite o item de Espao Livre e clique no boto Clone.
Voc ver que os dados se repetiro. Altere apenas a key (que deve ser nica)
e o Name. Repita para o outro item e voc ter outras duas mtricas prontas e
coletando em tempo recorde!
Figura 8.21: Item de disco espao usado
20
Figura 8.22: Item de disco espao total
Apos os ajustes confira na aba o Monitored -> Overview os dados coletados (atentando para que eles estejam em notao abreviada, Mb, Gb, etc).
Figura 8.23: Monitoramento do espao em disco
Para o Administrador ser avisado caso a partio raiz ocupar mais de 80% do total
utilizado, crie um item para coletar espao usado em porcentagem:
21
Figura 8.24: Item de disco espao usado em porcentagem
Figura 8.25: Monitoramento do espao em disco
Confira na aba o Monitored -> Overview os dados coletados do servidor Gateway

Filial SP
22
Figura 8.26: Dados coletados de disco no servidor Gateway Matriz
Em seguida crie a Trigger para o Zabbix avisar o Administrador, caso a partio raiz
ultrapasse 80% de utilizao.
Figura 8.27: Trigger espao utilizado em disco
23
Figura 8.28: Resultado final da Trigger criada
Para testar acesse o terminal do servidor Gateway Matriz e crie um arquivo para
ocupar mais de 80% de espao da raiz.
root@gw - matriz :~ # dd if =/ dev / zero of = arquivogrande bs =1024 count

=1200000
Apos alguns segundos o Zabbix ira alertar atravs de aviso sonoro e e-mail. Remova
o arquivo apos o teste e verifique o Webmail na Matriz da Dexter.
24
Figura 8.29: E-mails enviados apos os testes com a Trigger
8.4.3 Memria
Para monitorarmos a quantidade de memria que um host possui temos que usar a
key vm.memory.size[mode], onde "mode"pode ser substitudo por total, free, cached,
used, pused entre outros.
Como exemplo da aula iremos configurar o total, acesse o template Disponibilidade
de ativos na rede Dexter para criar o seguinte item.
25
Figura 8.30: Item de memria
Figura 8.31: Lista de items
Perceba que no campo Units temos a presena da letra "B", que indica o formato
padro para o Zabbix, dessa maneira assim que coletar o dado o Zabbix tornar
esse resultado em um formato legvel.
26
Acesse Monitored -> Overview para visualizar os resultados.
Figura 8.32: Memria coletada
Para o Administrador ser avisado caso a memria utilizada ocupar mais de 80%, crie
um item para coletar o total de memria utilizada em porcentagem:
Figura 8.33: Item de memria utilizada em porcentagem
Confira na aba o Monitored -> Overview os dados coletados do servidor Gateway

Matriz
27
Figura 8.34: Dados coletados de memria no servidor
Em seguida crie a Trigger para o Zabbix avisar o Administrador, caso a memria

utilizada ultrapasse 80%.
Figura 8.35: Trigger memria utilizada
28
Figura 8.36: Resultado final da Trigger criada
Para testar acesse o terminal do servidor Gateway Matriz e execute, o comando

abaixo para ultrapassar a utilizao de mais de 80% de memria:
root@gw - matriz :~ # while true ; do ls -R / ; done
Apos alguns segundos o Zabbix ira alertar atravs de aviso sonoro e e-mail. Use as
teclas CTRL + C para cancelar o comando ls e limpe o cache de memria atravs do
comando:
root@gw - matriz :~ # echo 3 > / proc / sys / vm / drop_caches
Aguarde alguns segundos e verifique os e-mails no Webmail da Matriz.
29
Figura 8.37: E-mails enviados apos os testes com a Trigger de memria
8.4.4 Processamento
A Carga de processamento pode ser monitorada a partir da key "system.cpu.load".
Para configur-la acessem o template "Disponibilidade de ativos na rede Dexter"e
crie um novo item conforme a figura.
30
Figura 8.38: Item de processamento
Feito isso salve o item e v at Monitored -> Overview para visualizar os resultados coletados.
Figura 8.39: Item de processamento
8.5 Monitoramento de Logs

O suporte para monitoramento logs de texto e logs de eventos do Windows, esta
presenta como funo nativa do agente na verso 2.2 do Zabbix. A partir de strings
31
ou expresses regulares, possvel fazer filtros nos arquivos de logs de um servidor
pelo agente Zabbix.
Se uma ocorrncia for encontrada nos logs, o servidor Zabbix notificado e o Administrador pode ser avisado criando um Trigger como uma ao preventiva.
Neste tipo de monitoramento precisamos ajustar as permisses do Agent Zabbix:
Alternativa 1:
Adicionar permisso de leitura para o usurio zabbix para cada arquivo de log que
sera monitorado. Exemplo:
root@mailserver :~ # chmod 644 / var / log / arquivo_de_log
No comando mostrado o arquivo de log syslog, vai permitir que usurios que no
pertencem ao grupo adm, possam fazer a leitura do arquivo.
Alternativa 2:
Permitir que o daemon do Agent Zabbix, rode com permisso de usurio root. Exemplo:
root@mailserver :~ # vim / etc / zabbix / zabbix_agentd . conf
2
3
....
4
5
AllowRoot =1
Se optar pela configurao feita no arquivo do Agent, no necessrio alterar as

permisses dos arquivos de Logs.
8.5.1 Monitoramento em ambiente Linux

Como exemplo prtico vamos monitorar a autenticao no servidor Mail Server, a
procura de logins que apresentem falha.
Etapa 1: Adicionar permisso de leitura para outros no arquivo auth.log
32
EXECUTE NA MQUINA MAILSERVER FILIAL SP:
root@mailserver :~ # chmod 644 / var / log / auth . log
Etapa 2: Crie um novo template com o nome Dexter - Logs e Eventos e adicione
os servidores Mail Server da filial SP e AD Server da Filial RJ.
Figura 8.40: Template para monitoramento de Logs
Etapa 3: Crie um novo item e application no template Dexter - Logs e Eventos com
os seguintes valores:
Name: Autenticao do Sistema como nome do item.
Type: Zabbix agent (active) como tipo de monitoramento.
Key: log[/var/log/auth.log,failure] como chave para filtrar a string failure no
arquivo /var/log/auth.log.
33
Type of information: Log como tipo de informao monitorada.
Update interval (in sec): Tempo de atualizao dos dados coletados.
Log time format: pppppp:yyyyMMdd:hhmmss como formato de apresentao
do Log. As 6 letras p define a posio inicial dos caracteres monitorados,
seguindo do ano, ms, dia, hora, minuto e segundos.
New application: AUTH como application que ira organizar este item.
Figura 8.41: Item para monitorar logs de autenticao
Etapa 4: Aguarde alguns minutos ou reinicie o servio do Zabbix Proxy na mquina

Firewall Filial SP.
root@fw - filialsp :~ # service zabbix - proxy restart
Etapa 5: Acompanhe a coleta de dados na aba Monitoring -> Overview.
34
Figura 8.42: Monitoramento de logs de autenticao
Figura 8.43: Monitoramento de logs de autenticao
35
8.5.2 Monitoramento em ambiente Windows

Em ambientes Windows utilizamos a key eventlog[name] para coletar informaes
do servidor. Exemplos de valores para name:
Application: Registro de eventos de aplicativos.

System: Registro de eventos do sistema.
Security: Registro de eventos de segurana.
File Replication Service: Registro de eventos replicao.
Directory Service: Registro de eventos do Active Directory.
Como exemplo prtico vamos monitorar a cada 10 segundos o estado do Active

Directory no servidor AD Server Filial RJ.
Etapa 1: Crie um novo item e application no template Dexter - Logs e Eventos com
os seguintes valores:
Name: Eventos do Active Directory como nome do item.

Type: Zabbix agent (active) como tipo de monitoramento.
Key: eventlogDirectory Service] como chave para filtrar eventos do Active Directory.
Type of information: Log como tipo de informao monitorada.
Update interval (in sec): Tempo de atualizao dos dados coletados.
New application: AD como application que ira organizar este item.
36
Figura 8.44: Item para monitorar logs de autenticao
Etapa 2: Aguarde alguns minutos ou reinicie o servio do Zabbix Proxy na mquina

Firewall Filial RJ.
root@fw - filialrj :~ # service zabbix - proxy restart
Etapa 3: Reinicie os servios do Active Directory na mquina AD Server em Start

-> Administrative Tools -> Server Manager -> Roles -> Active Directory Domain
Services -> Restart
Etapa 4: Acompanhe a coleta de dados na aba Monitoring -> Overview.
Figura 8.45: Monitoramento de eventos do Active Directory
37
Figura 8.46: Monitoramento de eventos do Active Directory
38

Apostila Monitoramento de S.O's e Logs

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila Monitoramento de S.O's e Logs

Enviado por

Direitos autorais:

Formatos disponíveis

Monitoramento de Redes com o

Diego da Silva Monte / diegodasilvamonte@gmail.com / 8530112900 / 8594178177

Diego da Silva Monte / diegodasilvamonte@gmail.com / 8530112900 / 8594178177

Diego da Silva Monte / diegodasilvamonte@gmail.com / 8530112900 / 8594178177

Projetos na sua empresa

Diego da Silva Monte / diegodasilvamonte@gmail.com / 8530112900 / 8594178177

Diego da Silva Monte / diegodasilvamonte@gmail.com / 8530112900 / 8594178177

8.1 Checar os servios pelo agente . . . . . . . . . . . . . . . . . . . . . . .

8.2 Verificar os processos ativos na memria . . . . . . . . . . . . . . . . .

8.3 Checar as portas e os servios via agente . . . . . . . . . . . . . . . . .

8.4 Monitorar os S.Os . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Diego da Silva Monte / diegodasilvamonte@gmail.com / 8530112900 / 8594178177

Diego da Silva Monte / diegodasilvamonte@gmail.com / 8530112900 / 8594178177

8.2 Verificar os processos ativos na memria

Diego da Silva Monte / diegodasilvamonte@gmail.com / 8530112900 / 8594178177

root@webserver :~ # ps uax | grep httpd -i

usr / sbin / httpd

usr / sbin / httpd

usr / sbin / httpd

usr / sbin / httpd

usr / sbin / httpd

usr / sbin / httpd

usr / sbin / httpd

usr / sbin / httpd

usr / sbin / httpd

Monitoramento de Redes com o Zabbix

Diego da Silva Monte / diegodasilvamonte@gmail.com / 8530112900 / 8594178177

O primeiro processo o daemon e o segundo o prprio grep na memria que

root@webserver :~ # ps u -C httpd | grep -v ^ USER

usr / sbin / httpd

usr / sbin / httpd

usr / sbin / httpd

usr / sbin / httpd

usr / sbin / httpd

usr / sbin / httpd

usr / sbin / httpd

usr / sbin / httpd

usr / sbin / httpd

Em distribuies baseadas em Debian, o nome do processo do Apache tem

Monitoramento de Redes com o Zabbix

Diego da Silva Monte / diegodasilvamonte@gmail.com / 8530112900 / 8594178177

Guarde est opo do ps, voc vai precisar dela no futuro.

Alterne para a mquina Firewall Filial SP e execute o comando zabbix_get para

root@fw - filialsp :~ # zabbix_get -s 192.168.150.53 -k " proc . num [ httpd

A chave retornou 9, que exatamente o nmero de processos que contamos com

Figura 8.1: Template Dexter - Apache2

Monitoramento de Redes com o Zabbix

Diego da Silva Monte / diegodasilvamonte@gmail.com / 8530112900 / 8594178177

Figura 8.2: Template Dexter - Apache2

Em seguida crie um novo item conforme o exemplo abaixo:

Figura 8.3: Criando item do apache2

No Overview, j podemos rastrear o funcionamento da contagem de processos.

Monitoramento de Redes com o Zabbix

Diego da Silva Monte / diegodasilvamonte@gmail.com / 8530112900 / 8594178177

Figura 8.4: Itens Coletados da mquina Web Server

Figura 8.5: Criando trigger do apache2

Monitoramento de Redes com o Zabbix

Diego da Silva Monte / diegodasilvamonte@gmail.com / 8530112900 / 8594178177

Figura 8.6: Criando trigger do apache2

1) A condio do trigger bem padro em relao aos nossos gatilhos anteriores:

root@webserver :~ # service httpd stop

Acesse a lista de eventos em Monitoring -> Events para acompanhar a ativao do

Monitoramento de Redes com o Zabbix