[第2弾] Zabbix から ESET Server Security for Linux のウイルス検出を監視する

2024.06.17

こんにちは、じんないです。

前回紹介した以下の記事のアップデート版になります。

今回のアップデート版では前回まで必要だった cron 設定やログファイルの用意はいりません。

アイテムやトリガーも見直してシンプルになっていますので、もし使われている方はアップデートいただければ幸いです。

なんとなく始めた運用ですが、意外と続いていることに自分でも驚いています。

そろそろソフトウェア側で対応してほしいです（笑）。

想定環境

Zabbix ユーザーが以下のコマンドを管理者権限で実行できるよう visudo を使って /etc/sudoers に追加します。

/opt/eset/efs/bin/lslog

/etc/sudoers

## Zabbix Agent for ESET Security Check
zabbix ALL=(ALL)        NOPASSWD: /opt/eset/efs/bin/lslog

Zabbix Agent からコマンドを実行できるよう設定ファイルを変更します。

AllowKey=system.run[*] がコメントアウトされているので、解除します。

/etc/zabbix_agentd.conf

AllowKey=system.run[*]

* ではなく実行できるコマンド明示的に指定する方がよりセキュアになると思います。

必要に応じて変更してください。

作成するアイテムは以下の2つです。

sudo /opt/eset/efs/bin/lslog -dc の結果をテキストとして保存するだけのアイテムです。

あまりデータの差分が多くないので監視間隔は1日にしています。

※ sudo /opt/eset/efs/bin/lslog -dc の詳細は以下の記事をご参照ください。

sudo /opt/eset/efs/bin/lslog -dc の行数をカウントするアイテムです。sudo /opt/eset/efs/bin/lslog -dc にパイプで wc -l をつなげているだけです。

先ほどの ESET Detection Logs と異なり、数値の変更を瞬時に確認したいため監視間隔は1分に設定します。

change 関数を使用して前項のアイテム ESET Detection Count でチェックした値が 前回と値と異なる場合にトリガー させるよう設定します。

「正常イベントの生成」はなしにすることで自動復旧させないようにし、ログを確認した後に障害をクローズするようにします。

名前: ESET Security Check: {HOST.NAME}
深刻度: 重度の障害
条件式: change(/<テンプレート名>/system.run[sudo /opt/eset/efs/bin/lslog -dc | wc -l])=1
正常イベントの生成: なし
手動クローズを許可: チェック

トリガーが設定できたら Download Anti Malware Testfile - EICAR からテストウィルスをダウンロードし動作確認します。

トリガーされれば成功です！

第3弾はないと思いますが、アップデート版があればまた紹介したいと思います。