Ubuntu18.04でリモートサーバーを安全に監視するためにZabbixをインストールおよび設定する方法
序章
Zabbix は、ネットワークおよびアプリケーション向けのオープンソースの監視ソフトウェアです。 サーバー、仮想マシン、ネットワークデバイス、およびWebアプリケーションから収集された数千のメトリックのリアルタイム監視を提供します。 これらのメトリックは、ITインフラストラクチャの現在の状態を判断し、顧客から苦情が出る前にハードウェアまたはソフトウェアコンポーネントの問題を検出するのに役立ちます。 有用な情報はデータベースに保存されるため、時間の経過とともにデータを分析して、提供されるサービスの品質を向上させたり、機器のアップグレードを計画したりできます。
Zabbixは、ユーザーサービスやクライアントサーバーアーキテクチャのエージェントレスモニタリングなど、メトリックを収集するためにいくつかのオプションを使用します。 サーバーメトリクスを収集するために、監視対象クライアント上の小さなエージェントを使用してデータを収集し、Zabbixサーバーに送信します。 Zabbixは、サーバーと接続されたクライアント間の暗号化された通信をサポートしているため、データが安全でないネットワーク上を移動する間、データは保護されます。
Zabbixサーバーは、 MySQL 、 PostgreSQL 、またはOracleを搭載したリレーショナルデータベースにデータを保存します。 ElasticsearchやTimescaleDBなどのnosqlデータベースに履歴データを保存することもできます。 ZabbixはWebインターフェースを提供するため、データを表示したり、システム設定を構成したりできます。
このチュートリアルでは、2台のマシンを構成します。 1つはサーバーとして構成され、もう1つは監視するクライアントとして構成されます。 サーバーはMySQLデータベースを使用して監視データを記録し、Apacheを使用してWebインターフェイスを提供します。
前提条件
このチュートリアルに従うには、次のものが必要です。
-
Ubuntu 18.04[X96Xの初期サーバーセットアップガイド]に従ってセットアップされた2つのUbuntu18.04サーバー。これには、sudo権限を持つroot以外のユーザーと、 ufw
. 1台のサーバーにZabbixをインストールします。 このチュートリアルでは、これをZabbixサーバーと呼びます。 2番目のサーバーを監視します。 この2番目のサーバーは2番目のUbuntuサーバーと呼ばれます。 -
Zabbixサーバーを実行するサーバーには、Apache、MySQL、およびPHPがインストールされている必要があります。 このガイドに従って、Zabbixサーバーでそれらを設定します。
さらに、Zabbixサーバーは、許可されていないユーザーにアクセスさせたくないインフラストラクチャに関する貴重な情報にアクセスするために使用されるため、TLS/SSL証明書をインストールしてサーバーを安全に保つことが重要です。 これはオプションですが、強くお勧めします。 Let’s Encrypt on Ubuntu 18.04 ガイドに従って、無料のTLS/SSL証明書を取得できます。
ステップ1—Zabbixサーバーをインストールする
まず、MySQL、Apache、PHPをインストールしたサーバーにZabbixをインストールする必要があります。 root以外のユーザーとしてこのマシンにログインします。
- ssh sammy@zabbix_server_ip_address
ZabbixはUbuntuのパッケージマネージャーで利用できますが、古くなっているため、公式Zabbixリポジトリを使用して最新の安定バージョンをインストールしてください。 リポジトリ構成パッケージをダウンロードしてインストールします。
wget https://repo.zabbix.com/zabbix/4.2/ubuntu/pool/main/z/zabbix-release/zabbix-release_4.2-1+bionic_all.deb
sudo dpkg -i zabbix-release_4.2-1+bionic_all.deb
次の出力が表示されます。
OutputSelecting previously unselected package zabbix-release.
(Reading database ... 61483 files and directories currently installed.)
Preparing to unpack zabbix-release_4.2-1+bionic_all.deb ...
Unpacking zabbix-release (4.2-1+bionicc) ...
Setting up zabbix-release (4.2-1+bionicc) ...
パッケージインデックスを更新して、新しいリポジトリが含まれるようにします。
sudo apt update
次に、MySQLデータベースをサポートするZabbixサーバーとWebフロントエンドをインストールします。
sudo apt install zabbix-server-mysql zabbix-frontend-php
また、Zabbixエージェントをインストールすると、Zabbixサーバーのステータス自体に関するデータを収集できます。
sudo apt install zabbix-agent
Zabbixを使用する前に、Zabbixサーバーがエージェントから収集するデータを保持するデータベースを設定する必要があります。 これは次のステップで実行できます。
ステップ2—Zabbix用のMySQLデータベースの設定
Zabbixに適したものにするために、新しいMySQLデータベースを作成し、いくつかの基本情報を入力する必要があります。 また、このデータベースに特定のユーザーを作成して、ZabbixがMySQLにログインしないようにします。 root
アカウント。
MySQLサーバーのインストール中に設定したrootパスワードを使用して、rootユーザーとしてMySQLにログインします。
- mysql -uroot -p
UTF-8文字をサポートするZabbixデータベースを作成します。
- create database zabbix character set utf8 collate utf8_bin;
次に、Zabbixサーバーが使用するユーザーを作成し、新しいデータベースへのアクセスを許可して、ユーザーのパスワードを設定します。
- grant all privileges on zabbix.* to zabbix@localhost identified by 'your_zabbix_mysql_password';
次に、次の新しい権限を適用します。
- flush privileges;
これでユーザーとデータベースが処理されます。 データベースコンソールを終了します。
- quit;
次に、初期スキーマとデータをインポートする必要があります。 Zabbixのインストールにより、これを設定するファイルが提供されました。
次のコマンドを実行してスキーマを設定し、データをにインポートします zabbix
データベース。 使用する zcat
ファイル内のデータが圧縮されているためです。
zcat /usr/share/doc/zabbix-server-mysql/create.sql.gz | mysql -uzabbix -p zabbix
のパスワードを入力します zabbix
プロンプトが表示されたときに構成したMySQLユーザー。
このコマンドが成功した場合、このコマンドはエラーを出力しません。 エラーが表示された場合 ERROR 1045 (28000): Access denied for user
zabbix@'localhost' (using password: YES)
次に、 root ユーザーではなく、zabbixユーザーのパスワードを使用したことを確認してください。
Zabbixサーバーがこのデータベースを使用するには、Zabbixサーバー構成ファイルでデータベースパスワードを設定する必要があります。 好みのテキストエディタで設定ファイルを開きます。 このチュートリアルでは、 nano
:
sudo nano /etc/zabbix/zabbix_server.conf
ファイルの次のセクションを探します。
### Option: DBPassword
# Database password. Ignored for SQLite.
# Comment this line if no password is used.
#
# Mandatory: no
# Default:
# DBPassword=
ファイル内のこれらのコメントは、データベースへの接続方法を説明しています。 を設定する必要があります DBPassword
データベースユーザーのパスワードに対するファイルの値。 これらのコメントの下に次の行を追加して、データベースを構成します。
...
DBPassword=your_zabbix_mysql_password
保存して閉じます zabbix_server.conf
を押すことによって CTRL+X
、 に続く Y
その後 ENTER
使用している場合 nano
.
これでZabbixサーバーの構成が処理されます。 次に、Zabbix Webインターフェイスが正しく機能するように、PHPの設定にいくつかの変更を加えます。
ステップ3—Zabbix用のPHPの設定
Zabbix WebインターフェースはPHPで記述されており、特別なPHPサーバー設定が必要です。 Zabbixのインストールプロセスでは、これらの設定を含むApache構成ファイルが作成されました。 ディレクトリにあります /etc/zabbix
そして、Apacheによって自動的にロードされます。 このファイルに小さな変更を加える必要があるので、次のように開きます。
sudo nano /etc/zabbix/apache.conf
このファイルには、ZabbixWebインターフェースに必要な要件を満たすPHP設定が含まれています。 ただし、タイムゾーン設定はデフォルトでコメント化されています。 Zabbixが正しい時刻を使用するようにするには、適切なタイムゾーンを設定する必要があります。
...
<IfModule mod_php7.c>
php_value max_execution_time 300
php_value memory_limit 128M
php_value post_max_size 16M
php_value upload_max_filesize 2M
php_value max_input_time 300
php_value always_populate_raw_post_data -1
# php_value date.timezone Europe/Riga
</IfModule>
前のコードブロックで強調表示されているタイムゾーン行のコメントを解除し、タイムゾーンに変更します。 このサポートされているタイムゾーンのリストを使用して、適切なタイムゾーンを見つけることができます。 次に、ファイルを保存して閉じます。
次に、Apacheを再起動して、これらの新しい設定を適用します。
sudo systemctl restart apache2
これでZabbixサーバーを起動できます。
sudo systemctl start zabbix-server
次に、Zabbixサーバーが正しく実行されているかどうかを確認します。
sudo systemctl status zabbix-server
次のステータスが表示されます。
Output● zabbix-server.service - Zabbix Server
Loaded: loaded (/lib/systemd/system/zabbix-server.service; disabled; vendor preset: enabled)
Active: active (running) since Fri 2019-04-05 08:50:54 UTC; 3s ago
Process: 16497 ExecStart=/usr/sbin/zabbix_server -c $CONFFILE (code=exited, status=0/SUCCESS)
...
最後に、サーバーが起動時に起動できるようにします。
- sudo systemctl enable zabbix-server
サーバーがセットアップされ、データベースに接続されます。 次に、Webフロントエンドを設定します。
注:前提条件のセクションで説明したように、サーバーでSSL/TLSを有効にすることをお勧めします。 このチュートリアルに従って、Ubuntu18.04でApacheの無料SSL証明書を取得できます。 SSL / TLS証明書を取得したら、戻ってこのチュートリアルを完了することができます。
ステップ4—ZabbixWebインターフェースの設定を構成する
Webインターフェイスを使用すると、レポートを表示したり、監視するホストを追加したりできますが、使用するには初期設定が必要です。 ブラウザを起動して、アドレスに移動します http://zabbix_server_name/zabbix/
. 最初の画面に、ウェルカムメッセージが表示されます。 次のステップをクリックして続行します。
次の画面に、Zabbixを実行するためのすべての前提条件をリストした表が表示されます。
このテーブルのすべての値はOKである必要があるため、そうであることを確認してください。 必ず下にスクロールして、すべての前提条件を確認してください。 すべての準備が整ったことを確認したら、次のステップをクリックして続行します。
次の画面では、データベース接続情報を求められます。
Zabbixサーバーにデータベースについて説明しましたが、Zabbix Webインターフェイスは、ホストを管理してデータを読み取るためにデータベースにアクセスする必要もあります。 したがって、ステップ2で構成したMySQLクレデンシャルを入力し、次のステップをクリックして続行します。
次の画面では、オプションをデフォルト値のままにしておくことができます。
名前はオプションです。 複数の監視サーバーがある場合に、1つのサーバーを別のサーバーと区別するためにWebインターフェースで使用されます。 次のステップをクリックして続行します。
次の画面にはインストール前の概要が表示されるので、すべてが正しいことを確認できます。
次のステップをクリックして、最終画面に進みます。
Webインターフェイスのセットアップが完了しました。 このプロセスにより、構成ファイルが作成されます /usr/share/zabbix/conf/zabbix.conf.php
これをバックアップして、将来使用することができます。 終了をクリックしてログイン画面に進みます。 デフォルトのユーザーはAdminで、パスワードはzabbixです。
ログインする前に、2番目のUbuntuサーバーでZabbixエージェントをセットアップします。
ステップ5—Zabbixエージェントのインストールと設定
次に、監視データをZabbixサーバーに送信するエージェントソフトウェアを設定する必要があります。
2番目のUbuntuサーバーにログインします。
- ssh sammy@second_ubuntu_server_ip_address
次に、Zabbixサーバーの場合と同様に、次のコマンドを実行してリポジトリ設定パッケージをインストールします。
- wget https://repo.zabbix.com/zabbix/4.2/ubuntu/pool/main/z/zabbix-release/zabbix-release_4.2-1+bionic_all.deb
- sudo dpkg -i zabbix-release_4.2-1+bionic_all.deb
次に、パッケージインデックスを更新します。
- sudo apt update
次に、Zabbixエージェントをインストールします。
- sudo apt install zabbix-agent
Zabbixは証明書ベースの暗号化をサポートしていますが、認証局の設定はこのチュートリアルの範囲を超えていますが、事前共有キー(PSK)を使用してサーバーとエージェント間の接続を保護できます。
まず、PSKを生成します。
- sudo sh -c "openssl rand -hex 32 > /etc/zabbix/zabbix_agentd.psk"
キーを表示して、どこかにコピーできるようにします。 ホストを構成するために必要になります。
- cat /etc/zabbix/zabbix_agentd.psk
キーは次のようになります。
Output12eb854dea38ac9ee7d1ded2d74cee6262b0a56710f6946f7913d674ab82cdd4
次に、Zabbixエージェント設定を編集して、Zabbixサーバーへの安全な接続を設定します。 テキストエディタでエージェント設定ファイルを開きます。
- sudo nano /etc/zabbix/zabbix_agentd.conf
このファイル内の各設定は、ファイル全体の有益なコメントを介して文書化されていますが、編集する必要があるのはそれらの一部だけです。
まず、ZabbixサーバーのIPアドレスを編集する必要があります。 次のセクションを見つけてください。
...
### Option: Server
# List of comma delimited IP addresses (or hostnames) of Zabbix servers.
# Incoming connections will be accepted only from the hosts listed here.
# If IPv6 support is enabled then '127.0.0.1', '::127.0.0.1', '::ffff:127.0.0.1' are treated equally.
#
# Mandatory: no
# Default:
# Server=
Server=127.0.0.1
...
デフォルト値をZabbixサーバーのIPに変更します。
...
Server=zabbix_server_ip_address
...
次に、Zabbixサーバーへの安全な接続を構成し、事前共有キーのサポートを有効にするセクションを見つけます。 を見つける TLSConnect
次のようなセクション:
...
### Option: TLSConnect
# How the agent should connect to server or proxy. Used for active checks.
# Only one value can be specified:
# unencrypted - connect without encryption
# psk - connect using TLS and a pre-shared key
# cert - connect using TLS and a certificate
#
# Mandatory: yes, if TLS certificate or PSK parameters are defined (even for 'unencrypted' connection)
# Default:
# TLSConnect=unencrypted
...
次に、次の行を追加して、事前共有キーのサポートを構成します。
...
TLSConnect=psk
...
次に、 TLSAccept
次のようなセクション:
...
### Option: TLSAccept
# What incoming connections to accept.
# Multiple values can be specified, separated by comma:
# unencrypted - accept connections without encryption
# psk - accept connections secured with TLS and a pre-shared key
# cert - accept connections secured with TLS and a certificate
#
# Mandatory: yes, if TLS certificate or PSK parameters are defined (even for 'unencrypted' connection)
# Default:
# TLSAccept=unencrypted
...
次の行を追加して、事前共有キーをサポートするように着信接続を構成します。
...
TLSAccept=psk
...
次に、 TLSPSKIdentity
次のようなセクション:
...
### Option: TLSPSKIdentity
# Unique, case sensitive string used to identify the pre-shared key.
#
# Mandatory: no
# Default:
# TLSPSKIdentity=
...
次の行を追加して、事前共有キーを識別するための一意の名前を選択します。
...
TLSPSKIdentity=PSK 001
...
Zabbix Webインターフェースを介してホストを追加するときに、これを PSKIDとして使用します。
次に、以前に作成した事前共有キーを指すオプションを設定します。 を見つけます TLSPSKFile
オプション:
...
### Option: TLSPSKFile
# Full pathname of a file containing the pre-shared key.
#
# Mandatory: no
# Default:
# TLSPSKFile=
...
次の行を追加して、Zabbixエージェントが作成したPSKファイルを指すようにします。
...
TLSPSKFile=/etc/zabbix/zabbix_agentd.psk
...
ファイルを保存して閉じます。 これで、Zabbixエージェントを再起動し、起動時に開始するように設定できます。
- sudo systemctl restart zabbix-agent
- sudo systemctl enable zabbix-agent
適切な対策として、Zabbixエージェントが正しく実行されていることを確認してください。
- sudo systemctl status zabbix-agent
エージェントが実行中であることを示す次のステータスが表示されます。
Output● zabbix-agent.service - Zabbix Agent
Loaded: loaded (/lib/systemd/system/zabbix-agent.service; enabled; vendor preset: enabled)
Active: active (running) since Fri 2019-04-05 09:03:04 UTC; 1s ago
...
エージェントはポートでリッスンします 10050
サーバーからの接続用。 このポートへの接続を許可するようにUFWを構成します。
- sudo ufw allow 10050/tcp
UFWの詳細については、 Ubuntu18.04でUFWを使用してファイアウォールを設定する方法をご覧ください。
これで、エージェントはZabbixサーバーにデータを送信する準備が整いました。 ただし、これを使用するには、サーバーのWebコンソールからリンクする必要があります。 次のステップでは、構成を完了します。
ステップ6—新しいホストをZabbixサーバーに追加する
監視するサーバーにエージェントをインストールするのは、プロセスの半分にすぎません。 監視する各ホストは、Zabbixサーバーに登録する必要があります。これは、Webインターフェイスを介して行うことができます。
アドレスに移動して、ZabbixサーバーのWebインターフェイスにログインします http://zabbix_server_name/zabbix/
.
ログインしたら、上部のナビゲーションバーで構成をクリックし、次にホストをクリックします。 次に、画面右上のホストの作成ボタンをクリックします。 これにより、ホスト構成ページが開きます。
ホスト名とIPアドレスを調整して、2番目のUbuntuサーバーのホスト名とIPアドレスを反映させてから、ホストをグループに追加します。 Linuxサーバーなどの既存のグループを選択するか、独自のグループを作成できます。 ホストは複数のグループに属することができます。 これを行うには、 Groups フィールドに既存または新規のグループの名前を入力し、提案されたリストから目的の値を選択します。
グループを追加したら、テンプレートタブをクリックします。
タイプ Template OS Linux
検索フィールドで、追加をクリックして、このテンプレートをホストに追加します。
次に、暗号化タブに移動します。 ホストへの接続とホストからの接続の両方でPSKを選択します。 次に、 PSKIdentityをに設定します PSK 001
、これは、前に設定したZabbixエージェントのTLSPSKIdentity設定の値です。 次に、PSKの値をZabbixエージェント用に生成したキーに設定します。 ファイルに保存されているものです /etc/zabbix/zabbix_agentd.psk
エージェントマシン上。
最後に、フォームの下部にある追加ボタンをクリックして、ホストを作成します。
リストに新しいホストが表示されます。 1分待ってからページをリロードすると、すべてが正常に機能していて接続が暗号化されていることを示す緑色のラベルが表示されます。
監視する必要のある追加のサーバーがある場合は、各ホストにログインし、Zabbixエージェントをインストールし、PSKを生成し、エージェントを構成し、最初のホストを追加するのと同じ手順に従って、ホストをWebインターフェイスに追加します。
Zabbixサーバーは2番目のUbuntuサーバーを監視しています。 次に、問題について通知されるように電子メール通知を設定します。
ステップ7—電子メール通知の構成
Zabbixは、電子メール、 Jabber 、SMSなどのいくつかのタイプの通知を自動的にサポートします。 TelegramやSlackなどの代替通知方法を使用することもできます。 統合の完全なリストはここで確認できます。
最も簡単な通信方法は電子メールです。このチュートリアルでは、このメディアタイプの通知を構成します。
上部のナビゲーションバーで管理をクリックし、次にメディアタイプをクリックします。 すべてのメディアタイプのリストが表示されます。 メールをクリックします。
電子メールサービスによって提供される設定に従ってSMTPオプションを調整します。 このチュートリアルでは、GmailのSMTP機能を使用してメール通知を設定します。 この設定の詳細については、GoogleのSMTPサーバーの使用方法を参照してください。
注: Gmailで2段階認証プロセスを使用する場合は、Zabbixのアプリパスワードを生成する必要があります。 覚えておく必要はありません。セットアップ中にアプリのパスワードを入力する必要があるのは1回だけです。 このパスワードを生成する方法については、Googleヘルプセンターを参照してください。
メッセージ形式(htmlまたはプレーンテキスト)を選択することもできます。 最後に、フォームの下部にある更新ボタンをクリックして、電子メールパラメータを更新します。
次に、新しいユーザーを作成します。 上部のナビゲーションバーで管理をクリックし、次にユーザーをクリックします。 ユーザーのリストが表示されます。 次に、画面右上のユーザー作成ボタンをクリックします。 これにより、ユーザー設定ページが開きます。
Alias フィールドに新しいユーザー名を入力し、新しいパスワードを設定します。 次に、ユーザーを管理者のグループに追加します。 タイプ Zabbix administrators
グループフィールドで、提案されたリストから選択します。
グループを追加したら、メディアタブをクリックし、追加の下線付きリンクをクリックします。 ポップアップウィンドウが表示されます。
送信先フィールドにメールアドレスを入力してください。 残りのオプションはデフォルト値のままにしておくことができます。 下部にある追加ボタンをクリックして送信してください。
次に、権限タブに移動します。 ユーザータイプドロップダウンメニューからZabbixSuperAdminを選択します。
最後に、フォームの下部にある追加ボタンをクリックして、ユーザーを作成します。
次に、通知を有効にする必要があります。 構成タブをクリックし、上部のナビゲーションバーでアクションをクリックします。 事前設定されたアクションが表示されます。このアクションは、すべてのZabbix管理者に通知を送信する役割を果たします。 名前をクリックすると、設定を確認および変更できます。 このチュートリアルでは、デフォルトのパラメーターを使用します。 アクションを有効にするには、ステータス列の赤い無効リンクをクリックします。
これで、アラートを受信する準備が整いました。 次のステップでは、通知設定をテストするために生成します。
ステップ8—テストアラートの生成
このステップでは、すべてが接続されていることを確認するためのテストアラートを生成します。 デフォルトでは、Zabbixはサーバーの空きディスク容量を追跡します。 すべてのディスクマウントを自動的に検出し、対応するチェックを追加します。 この検出は1時間ごとに実行されるため、通知がトリガーされるまでしばらく待つ必要があります。
Zabbixのファイルシステム使用状況アラートをトリガーするのに十分な大きさの一時ファイルを作成します。 これを行うには、まだ接続していない場合は、2番目のUbuntuサーバーにログインします。
- ssh sammy@second_ubuntu_server_ip_address
次に、サーバーにある空き容量を確認します。 あなたは使用することができます df
見つけるためのコマンド:
- df -h
コマンド df
ファイルシステムのディスク容量使用量を報告し、 -h
出力を人間が読める形式にします。 次のような出力が表示されます。
OutputFilesystem Size Used Avail Use% Mounted on
/dev/vda1 25G 1.2G 23G 5% /
この場合、空き容量は23GBです。 空き容量が異なる場合があります。
使用 fallocate
このコマンドを使用すると、ファイルにスペースを事前に割り当てたり、割り当てを解除したりして、使用可能なディスクスペースの80% of以上を占めるファイルを作成できます。 これは、アラートをトリガーするのに十分です。
- fallocate -l 20G /tmp/temp.img
約1時間後、Zabbixは空きディスク容量に関するアラートをトリガーし、設定したアクションを実行して通知メッセージを送信します。 受信トレイでZabbixサーバーからのメッセージを確認できます。 次のようなメッセージが表示されます。
OutputProblem started at 10:37:54 on 2019.04.05
Problem name: Free disk space is less than 20% on volume /
Host: Second Ubuntu server
Severity: Warning
Original problem ID: 34
モニタリングタブに移動し、ダッシュボードに移動して、通知とその詳細を確認することもできます。
アラートが機能していることがわかったので、作成した一時ファイルを削除して、ディスク領域を再利用できるようにします。
- rm -f /tmp/temp.img
1分後、Zabbixはリカバリメッセージを送信し、アラートはメインダッシュボードから消えます。
結論
このチュートリアルでは、サーバーの状態を監視するのに役立つ、シンプルで安全な監視ソリューションをセットアップする方法を学びました。 これで、問題を警告できるようになり、ITインフラストラクチャで発生するプロセスを分析する機会が得られます。
監視インフラストラクチャの設定の詳細については、 Ubuntu 18.04 にElasticsearch、Logstash、およびKibana(Elastic Stack)をインストールする方法と Ubuntu18.04でMetricbeatを使用してインフラストラクチャメトリックを収集する方法を確認してください。 。