zabbix應(yīng)用---檢查ssh登錄ip

案例：最近新弄了一個(gè)項(xiàng)目，為了確保項(xiàng)目的安全。自己就做了一個(gè)zabbix檢查ssh登錄ip的東西，這里給大家分享下

步驟：

1. 自定義zabbix檢查ssh登錄ip的key

   cat /etc/zabbix/zabbix_agentd.d/sanguo_check_ssh.conf
   

   UserParameter=sanguo.check.ssh, who | wc -l  #這里的作用是檢查ssh登錄了幾個(gè)終端

   重啟zabbix_agentd

2. 寫(xiě)一個(gè)檢查ssh登錄ip的腳本

3. 在zabbix上創(chuàng)建一個(gè)模板

4. 創(chuàng)建應(yīng)用程序，application   創(chuàng)建監(jiān)控項(xiàng)item

   自定義key

   cat sanguo_check_ssh.conf

   UserParameter=sanguo.check.ssh, who | wc -l
   

   這里的主要作用是定義監(jiān)控的時(shí)間范圍

   

   
   

5. 創(chuàng)建trigger

   這里的主要作用是檢查ssh的登錄終端數(shù)量，如果不為0 就觸發(fā)報(bào)警

   

6. 創(chuàng)建actions

   當(dāng)ssh登錄終端在特定的時(shí)間不為0 的時(shí)候就觸發(fā)腳本，踢掉登錄的ssh并把ip加入防火墻

   這里執(zhí)行腳本要把zabbix加入sudo權(quán)限。zabbix客戶(hù)配置文件開(kāi)啟對(duì)遠(yuǎn)程命令的支持EnableRemoteCommands=1

   

   這里就大功告成了

   這里我把模板上傳上來(lái)

 檢查ssh登錄的腳本如下
 #!/bin/bash
 ip=`w | awk '/用戶(hù)/{print $3}'`
 w | awk '/用戶(hù)/{print $2}' | xargs -i pkill -kill -t {}
 for IP in $ip
 do
        if [ $IP == "ip" ];then
                echo "attention:The invasion from $IP of office" | mail -s "attention,please check" 13651602471@139.com
        else
                iptables -I INPUT 1 -s $IP -j DROP 
                echo "attention:The invasion from $IP of outside" | mail -s "attention,please check" 13651602471@139.com
        fi
 done