Nécessite pas grand chose pour l'instant. nombre de machine total a superviser < 100
Nous partons d'une base debian buster (10) et nous utilisons les paquets officiel de zabbix en utilisant le repository de l'éditeur.
# wget https://repo.zabbix.com/zabbix/4.4/debian/pool/main/z/zabbix-release/zabbix-release_4.4-2+buster_all.deb # dpkg -i zabbix-release_4.4-2+buster_all.deb # apt update # apt install zabbix-server-pgsql zabbix-frontend-php php-pgsql zabbix-apache-conf
postgresql est installé par dépendance, mais pas php-pgsql qui sera nécessaire pour le front.
# su - postgres $ pg_createcluster 11 zabbix $ createuser --pwprompt zabbix $ createdb -O zabbix zabbix $ exit # zcat /usr/share/doc/zabbix-server-pgsql/create.sql.gz | sudo -u postgres psql -U zabbix -h localhost
utilisation de pgtune pour fine tuné postgresql, à mettre à la fin de /etc/postgresql/11/zabbix/postgresql.conf :
# DB Version: 11 # OS Type: linux # DB Type: oltp # Total Memory (RAM): 1 GB # CPUs num: 1 # Data Storage: hdd max_connections = 300 shared_buffers = 256MB effective_cache_size = 768MB maintenance_work_mem = 64MB checkpoint_completion_target = 0.9 wal_buffers = 7864kB default_statistics_target = 100 random_page_cost = 4 effective_io_concurrency = 2 work_mem = 436kB min_wal_size = 2GB max_wal_size = 4GB
S'assurer que les variable suivante ont les valeur dans /etc/zabbix/zabbix_server.conf.
DBHost= DBName=zabbix DBUser=zabbix DBPassword=<password>
DBHost est vide pour utiliser les socket UNIX.
Dans /etc/apache2/conf-enabled/zabbix.conf, s'assurer que la timezone est positionné à Europe/Paris
php_value max_execution_time 300 php_value memory_limit 128M php_value post_max_size 16M php_value upload_max_filesize 2M php_value max_input_time 300 php_value max_input_vars 10000 php_value always_populate_raw_post_data -1 php_value date.timezone Europe/Paris
certbot, paquets zabbix utilise apache2 donc :
# apt install certbot # apt install python-certbot-apache # certbot --apache -d zabbix.faimaison.net
Redémarrer l'ensemble et activer le démarrage par défaut
# systemctl restart zabbix-server apache2 zabbix-agent # systemctl enable zabbix-server apache2 zabbix-agent
Se connecter sur zabbix.faimaison.net/zabbix/setup.php compléter l'installation.
Il n'y a pas de nécessité à garder une version identique des agents avec le serveur. Ainsi, nous pouvons utiliser le paquet par défaut sur debian. Toutefois, attention a ne pas avoir un écart trop grand car on perd des fonctionnalités
# apt install zabbix-agent
un agent actif, est un agent qui récupère tout seul sa configuration sur le serveur et pousse de lui-même les informations au serveur sans attendre d'instructions. Pour se faire, s'assurer que la valeur ServerActif comporte l'IP du serveur zabbix. Fichier de configuration est dans /etc/zabbix/zabbix_agentd.conf :
ServerActif=89.234.176.134
Nécessite d'avoir un agent récent : v3.0 ou plus
2 méthodes sont possible : certificats ou PKS. Pour raison de simplicité nous utiliserons pks
nous utilisons içi gnuTLS
$ psktool -u psk_identity -p zabbix.psk -s 32 Generating a random key for user 'psk_identity' Key stored to zabbix.psk $ cat zabbix.psk psk_identity:9b8eafedfaae00cece62e85d5f4792c7d9c9bcc851b23216a1d300311cc4f7cb
retirer la partie “psk_identity:” qui ne peut pas être lu par zabbix. Puis copier ce fichier sur les serveurs monitoré
s'assurer que le fichier /etc/zabbix/zabbix.psk appartient à l'utilisateur zabbix
$ chown zabbix: /etc/zabbix/zabbix.psk
ajouter les paramètre suivant dans le fichier zabbix_agentd.conf
TLSConnect=psk TLSAccept=psk TLSPSKFile=/etc/zabbix/zabbix_agentd.psk TLSPSKIdentity=PSK 001
au niveau de la configuration de l'hote, il faut allez dans la section encryption et préciser l'identité PSK et la PSK elle-même
ajouter une entrée dans /etc/zabbix/zabbix_agentd.conf
HostMetadata=Linux HostMetadataItem=system.uname
nécessite d'ajouten une action sur le serveur, s'assurer de matcher sur hostmetadata linux, créer action pour créer host et ajouter le template
L'accès au machines se controle par les groupes d'utilisateurs
Afin de trouver un équilibre entre ce qui est disponible à certaine population ou non, nous allons avoir besoin d'utiliser les tag
Cette population a le droit de tous sur l'infra de monitoring. C'est également ce group qui s'occupe de l'évolution du service.
Cette popuplation a le droit de voir toutes les machines, intervenir pour réaliser un acknowledge sur les problèmes. Elle s'occupe de maintenir opérationnel l'infra de Faimaison
Cette population ne doit voir que les machines accessibles sur le quartier où celle-ci se situe
Pour réussir à segmenter les accès aux différentes machines nous devons recourir aux tags. nous pouvons mettre les clés que nous voulons avec les valeurs que nous souhaitons. Par la suite, il suffit de dire qu'un groupe d'utilisateurs a le droit de voir uniquement les machines et services qui ont le tag à une certaine valeur.
Tags suggéré :
tags | type de valeur | exemple |
---|---|---|
quartier | nom d'un quartier | bottière |