如何安装和配置Zabbix来安全监控Ubuntu 16.04上的远程服务器

Zabbix是网络和应用的开源监控软件。它提供从服务器,虚拟机和任何其他类型的网络设备收集的数千个度量的实时监控。这些指标可以帮助您确定IT的当前健康状况...

介绍

Zabbix是用于网络和应用的开源监控软件。 它提供从服务器,虚拟机和任何其他类型的网络设备收集的数千个度量的实时监控。 这些指标可以帮助您确定IT基础架构的当前运行状况,并在客户投诉之前检测硬件或软件组件的问题。 有用的信息存储在数据库中,您可以随着时间的推移分析数据,提高所提供服务的质量,或计划升级您的设备。

Zabbix使用客户端 - 服务器架构,并在受监视客户端上使用一个小代理来收集数据并将其发送到Zabbix服务器。 Zabbix版本3支持服务器和连接的客户端之间的加密通信,因此您的数据在不安全的网络上传输时受到保护。

Zabbix服务器将其数据存储在由MySQL,PostgreSQL或Oracle支持的关系数据库中。 它还提供了一个Web界面,您可以查看数据并配置系统设置。 在本教程中,我们将配置两台机器。 一个将被配置为服务器,另一个将作为您要监视的客户端。 服务器将使用MySQL数据库记录监控数据,并使用Apache来提供Web界面。

先决条件

要遵循本教程,您将需要:

  • 两个Ubuntu 16.04服务器,每个都配置了一个sudo非root用户。 您可以按照这个初始Ubuntu服务器安装文章进行设置
  • 运行Zabbix服务器的服务器需要安装Apache,MySQL和PHP。 按照本指南在您的其中一台服务器上进行配置。

第1步 - 安装Zabbix服务器

首先,我们需要在安装MySQL,Apache和PHP的服务器上安装Zabbix Server。 本教程中我们将本机称为“Zabbix服务器”。 以非root用户身份登录本机:

ssh sammy@your_zabbix_server_ip_address

在安装Zabbix之前,我们需要安装Zabbix需要的几个PHP模块。 首先,更新系统的可用软件包列表:

sudo apt-get update

然后安装Zabbix需要的PHP模块:

sudo apt-get install php7.0-xml php7.0-bcmath php7.0-mbstring

现在我们可以安装Zabbix。

Zabbix在Ubuntu的软件包管理器中可用,但它已经过时了,所以我们将使用官方的Zabbix存储库来安装最新的稳定版本。 下载并安装存储库配置包:

wget http://repo.zabbix.com/zabbix/3.2/ubuntu/pool/main/z/zabbix-release/zabbix-release_3.2-1+xenial_all.deb
sudo dpkg -i zabbix-release_3.2-1+xenial_all.deb

您将看到以下输出:

Selecting previously unselected package zabbix-release.
(Reading database ... 55276 files and directories currently installed.)
Preparing to unpack zabbix-release_3.2-1+xenial_all.deb ...
Unpacking zabbix-release (3.2-1+xenial) ...
Setting up zabbix-release (3.2-1+xenial) ...

更新包索引,以便包含新的存储库:

sudo apt-get update

然后安装Zabbix服务器和Web前端与MySQL数据库支持:

sudo apt-get install zabbix-server-mysql zabbix-frontend-php

我们还要安装Zabbix代理,这样我们就可以收集有关Zabbix服务器状态的数据。

sudo apt-get install zabbix-agent

在我们可以使用Zabbix之前,我们必须设置一个数据库来保存Zabbix服务器从其代理收集的数据。

第2步 - 配置Zabbix的MySQL数据库

我们需要创建一个新的MySQL数据库并填充一些基本信息,以使其适合Zabbix。 我们还将为此数据库创建一个特定用户,因此Zabbix没有使用root帐户登录到MySQL。

使用您在MySQL服务器安装期间设置的root密码作为root用户登录MySQL:

mysql -uroot -p

创建支持UTF-8字符的Zabbix数据库:

create database zabbix character set utf8 collate utf8_bin;

然后创建一个Zabbix服务器将使用的用户,让它访问新的数据库,并为用户设置密码:

grant all privileges on zabbix.* to zabbix@localhost identified by 'your_password';

然后应用这些新权限:

flush privileges;

这照顾了用户和数据库。 退出数据库控制台。

quit;

接下来,我们必须导入初始模式和数据。 Zabbix安装为我们提供了一个为我们设置的文件。

运行以下命令设置模式并将数据导入zabbix数据库。 我们将使用zcat因为文件中的数据被压缩。

zcat /usr/share/doc/zabbix-server-mysql/create.sql.gz | mysql -uzabbix -p zabbix

输入您提示时配置的zabbix MySQL用户的密码。

如果成功,此命令将不会输出任何错误。 如果您看到错误ERROR 1045 (28000): Access denied for user 'zabbix'@'localhost' (using password: YES)那么请确保使用zabbix用户的密码而不是root用户。

为了使Zabbix服务器使用此数据库,您需要在Zabbix服务器配置文件中设置数据库密码。 在编辑器中打开配置文件:

sudo nano /etc/zabbix/zabbix_server.conf

查找文件的以下部分:

/etc/zabbix/zabbix_server.conf
### Option: DBPassword                           
#       Database password. Ignored for SQLite.   
#       Comment this line if no password is used.
#                                                
# Mandatory: no                                  
# Default:                                       
# DBPassword=

文件中的这些注释说明了如何连接到数据库。 我们需要将文件中的DBPassword值设置为数据库用户的密码。 在这些注释下方添加一行以配置数据库:

/etc/zabbix/zabbix_server.conf
DBPassword=your_zabbix_mysql_password

这需要照顾Zabbix服务器配置,但是我们必须对我们的PHP设置进行一些修改,以使Zabbix Web界面正常工作。

第3步 - 为Zabbix配置PHP

Zabbix Web界面是用PHP编写的,需要一些特殊的PHP服务器设置。 Zabbix安装过程创建了一个包含这些设置的Apache配置文件。 它位于目录/etc/zabbix ,由Apache自动加载。 我们需要对这个文件做一个小的改动,所以打开它。

sudo nano /etc/zabbix/apache.conf

该文件包含满足Zabbix Web界面所需要的PHP设置。 您唯一需要做的更改是设置适当的时区,默认情况下会被注释掉。

/etc/zabbix/apache.conf
...
<IfModule mod_php7.c>
    php_value max_execution_time 300
    php_value memory_limit 128M
    php_value post_max_size 16M
    php_value upload_max_filesize 2M
    php_value max_input_time 300
    php_value always_populate_raw_post_data -1
    # php_value date.timezone Europe/Riga
</IfModule>

取消注释上面突出显示的时区行,并将其更改为您的时区。 您可以使用支持的时区列表为您找到正确的时区 然后保存并关闭文件。

现在重新启动Apache以应用这些新设置。

sudo systemctl restart apache2

您现在可以启动Zabbix服务器。

sudo systemctl start zabbix-server

然后检查Zabbix服务器是否正常运行:

sudo systemctl status zabbix-server

您将看到以下状态:

● zabbix-server.service - Zabbix Server
   Loaded: loaded (/lib/systemd/system/zabbix-server.service; disabled; vendor preset: enabled)
   Active: :active (running) since Thu 2017-06-08 06:40:43 UTC; 6s ago
  Process: 15201 ExecStart=/usr/sbin/zabbix_server -c $CONFFILE (code=exited, status=0/SUCCESS)
  ...

最后,启动服务器启动时:

sudo systemctl enable zabbix-server

服务器已设置并连接到数据库。 现在我们来设置web前端。

第4步 - 配置Zabbix Web界面的设置

Web界面可让我们查看报告并添加要监视的主机,但需要一些初始设置才能使用。 启动浏览器并转到http:// your_zabbix_server_ip_address /zabbix/ 在第一个屏幕上,您将看到一个欢迎信息。 单击下一步继续。

在下一个屏幕上,您将看到列出运行Zabbix的所有先决条件的表。

先决条件

此表中的所有值必须为OK ,因此请验证它们。 确保向下滚动并查看所有先决条件。 验证一切即可完成后,点击下一步继续。

下一个屏幕要求数据库连接信息。

数据库连接

我们向Zabbix服务器通报了我们的数据库,但Zabbix Web界面也需要访问数据库来管理主机和读取数据。 因此,输入您在第2步中配置的MySQL凭据,然后单击下一步继续。

在下一个屏幕上,您可以将选项保留为默认值。

Zabbix服务器详细信息

名称是可选的; 如果您有多个监控服务器,则它将在Web界面中用于区分一个服务器。 单击下一步继续。

下一个屏幕将显示预安装摘要,以便您可以确认一切正确。

概要

单击下一步继续到最后的屏幕。

Web界面设置完成! 此过程创建配置文件/usr/share/zabbix/conf/zabbix.conf.php ,您可以在将来备份和使用。 单击完成以进入登录屏幕。 默认用户为Admin ,密码为zabbix

在我们登录之前,让我们在其他服务器上设置Zabbix代理。

第5步 - 安装和配置Zabbix代理

现在我们需要配置将监控数据发送到Zabbix服务器的代理软件。

登录到第二台服务器,我们称之为“受监视的服务器”。

ssh sammy@your_monitored_server_ip_address

然后,就像在Zabbix服务器上一样,运行以下命令来安装存储库配置包:

wget http://repo.zabbix.com/zabbix/3.2/ubuntu/pool/main/z/zabbix-release/zabbix-release_3.2-1+xenial_all.deb
sudo dpkg -i zabbix-release_3.2-1+xenial_all.deb

接下来,更新包索引:

sudo apt-get update

然后安装Zabbix代理:

sudo apt-get install zabbix-agent

虽然Zabbix支持基于证书的加密,设置证书颁发机构超出了本教程的范围,但是我们可以使用预共享密钥(PSK)来保护服务器和代理之间的连接。

首先,生成一个PSK:

sudo sh -c "openssl rand -hex 32 > /etc/zabbix/zabbix_agentd.psk"

显示钥匙,以便您可以将其复制到某处。 您将需要配置主机。

cat /etc/zabbix/zabbix_agentd.psk

关键是这样的:

cd12686e166a80aa09a227ae5f97834eaa3d5ae686d2ae39590f17ef85dd6de5

现在编辑Zabbix代理设置来设置与Zabbix服务器的安全连接。 在文本编辑器中打开代理配置文件:

sudo nano /etc/zabbix/zabbix_agentd.conf

该文件中的每个设置都通过整个文件中的资料性注释进行记录,但您只需编辑其中的一些。

首先你必须编辑Zabbix服务器的IP地址。 查找以下部分:

/etc/zabbix/zabbix_agentd.conf
### Option: Server
#       List of comma delimited IP addresses (or hostnames) of Zabbix servers.
#       Incoming connections will be accepted only from the hosts listed here.
#       If IPv6 support is enabled then '127.0.0.1', '::127.0.0.1', '::ffff:127.0.0.1' are treated equally.
#
# Mandatory: no
# Default:
# Server=

Server=127.0.0.1

将默认值更改为Zabbix服务器的IP:

/etc/zabbix/zabbix_agentd.conf
Server=your_zabbix_server_ip_address

接下来,找到配置到Zabbix服务器的安全连接的部分,并启用预共享密钥支持。 查找TSLConnect部分,如下所示:

/etc/zabbix/zabbix_agentd.conf
### Option: TLSConnect
#       How the agent should connect to server or proxy. Used for active checks.
#       Only one value can be specified:
#               unencrypted - connect without encryption
#               psk         - connect using TLS and a pre-shared key
#               cert        - connect using TLS and a certificate
#
# Mandatory: yes, if TLS certificate or PSK parameters are defined (even for 'unencrypted' connection)
# Default:
# TLSConnect=unencrypted

然后添加这一行来配置预共享密钥支持:

/etc/zabbix/zabbix_agentd.conf
TLSConnect=psk

接下来,找到TLSAccept部分,如下所示:

/etc/zabbix/zabbix_agentd.conf
### Option: TLSAccept
#       What incoming connections to accept.
#       Multiple values can be specified, separated by comma:
#               unencrypted - accept connections without encryption
#               psk         - accept connections secured with TLS and a pre-shared key
#               cert        - accept connections secured with TLS and a certificate
#
# Mandatory: yes, if TLS certificate or PSK parameters are defined (even for 'unencrypted' connection)
# Default:
# TLSAccept=unencrypted

通过添加此行,配置传入连接以支持预共享密钥:

/etc/zabbix/zabbix_agentd.conf
TLSAccept=psk

接下来,找到TLSPSKIdentity部分,如下所示:

/etc/zabbix/zabbix_agentd.conf
### Option: TLSPSKIdentity
#       Unique, case sensitive string used to identify the pre-shared key.
#
# Mandatory: no
# Default:
# TLSPSKIdentity=

选择一个唯一的名称,通过添加以下行来标识您的预共享密钥:

/etc/zabbix/zabbix_agentd.conf
TLSPSKIdentity=PSK 001

当您通过Zabbix Web界面添加主机时,您将使用它作为PSK ID

然后设置指向您之前创建的预共享密钥的选项。 找到TLSPSKFile选项:

/etc/zabbix/zabbix_agentd.conf
### Option: TLSPSKFile
#       Full pathname of a file containing the pre-shared key.
#
# Mandatory: no
# Default:
# TLSPSKFile=

添加此行将Zabbix代理指向您创建的PSK文件:

/etc/zabbix/zabbix_agentd.conf
TLSPSKFile=/etc/zabbix/zabbix_agentd.psk

保存并关闭文件。 现在,您可以启动Zabbix代理并将其设置为在启动时启动:

sudo systemctl start zabbix-agent
sudo systemctl enable zabbix-agent

为了很好的措施,请检查Zabbix代理是否正常运行:

sudo systemctl status zabbix-agent

您将看到以下状态,指示代理正在运行:

● zabbix-agent.service - Zabbix Agent
   Loaded: loaded (/lib/systemd/system/zabbix-agent.service; disabled; vendor preset: enabled)
   Active: active (running) since Thu 2017-06-08 08:33:52 UTC; 4s ago
  Process: 18185 ExecStart=/usr/sbin/zabbix_agentd -c $CONFFILE (code=exited, status=0/SUCCESS)
  ...

我们的代理现在可以将数据发送到Zabbix服务器。 但是为了使用它,我们必须从服务器的Web控制台链接到它。

注意:如果使用UFW,请将其配置为允许连接到端口10050

sudo ufw allow 10050/tcp  

您可以在Ubuntu 16.04中了解如何使用UFW设置防火墙的UFW

第6步 - 将新主机添加到Zabbix服务器

在我们要监控的服务器上安装代理只是一半的过程。 我们要监控的每个主机需要在Zabbix服务器上注册,我们可以通过Web界面进行操作。

通过导航到地址http:// your_zabbix_server_ip_address /zabbix/登录到Zabbix Server Web界面。

Zabbix登录屏幕

当您登录后,单击配置 ,然后单击顶部导航栏中的主机 然后点击屏幕右上角的创建主机按钮。 这将打开主机配置页面。

创建主机

调整主机名IP地址以反映客户机的主机名和IP地址。 然后通过从列表中选择一个组或通过创建自己的组来将主机添加到组中。 主机可以在多个组中。 Linux服务器组是一个很好的默认选择。 添加该组后,单击“ 模板 ”选项卡。

向主机添加模板

搜索字段中键入Template OS Linux ,然后单击添加将此模板添加到主机。

接下来,导航到加密选项卡。 为主机连接主机连接选择PSK 然后将PSK标识设置为PSK 001 ,这是之前配置的Zabbix代理的TLSPSKIdentity设置的值。 然后设置
您为Zabbix代理生成的密钥的PSK值。 这是存储在代理机器上的文件/etc/zabbix/zabbix_agentd.psk中的文件。

设置加密。

最后,单击表单底部的添加按钮创建主机。

您将看到您的新主机带有绿色标签,表示一切正常,连接已加密。

Zabbix显示您的新主机。

几秒钟后,您可以导航到“ 监控” ,然后查看“ 最新”数据 ,以查看代理人的数据。

为了确保事情正常工作,请关闭受监控的服务器,以便您可以看到Zabbix如何提醒您出现问题。 一旦您的受监视的服务器脱机,您将在主仪表板上看到警告:

Zabbix向您显示关于脱机主机的警告。

如果您有其他服务器需要监视,请登录到每个主机,安装Zabbix代理,生成PSK,配置代理,并将主机添加到Web界面中,按照您添加第一个主机的步骤进行。

结论

在本教程中,您学习了如何设置一个简单安全的监控解决方案,帮助您监控服务器的状态。 现在可以向您发出问题警告,您有机会根据获取的数据绘制一些图表,以便您可以对其进行分析并进行相应的计划。