首先是写脚本,输出当前机器监听的tcp端口
portscan.py
zabbix用户启动的,默认不能执行netstat -p chmod +s /bin/netstat或者不用或者sudo
#!/usr/bin/env python
import os
import json
data = {}
tcp_list = []
port_list = []
command = '''netstat -ntl | awk '{print $4}' | grep 0.0.0.0 | awk -F":" '{print $2}' '''
line = os.popen(command).readlines()
for port in line:
port_dict = {}
port = port.replace('\n','')
if int(port) > 20000:
continue
port_dict['{#TCP_PORT}'] = port.replace('\n','')
tcp_list.append(port_dict)
data['data'] = tcp_list
jsonStr = json.dumps(data, sort_keys=True, indent=4)
print jsonStr
这个脚本运行的结果如下:
{
"data": [
{
"{#TCP_PORT}": "843"
},
{
"{#TCP_PORT}": "3035"
},
{
"{#TCP_PORT}": "10050"
}
]
}
修改win下zabbix_agent的配置文件zabbix_agentd.conf
UnsafeUserParameters=1
UserParameter=tcpportlisten,python /etc/zabbix/portscan.py
修改完成后重启zabbix_agent服务。
这个时候在zabbix_server端就可以用zabbix_get来测试是否正常。
zabbix_get -s ip -k tcpportlisten
返回的结果和在agent上运行脚本返回的结果一致就表示正常。
在页面添加discover
在模版或者主机的页面上点击Discovery(探索),然后在右上角点击Create discovery rule(创建探索规则)
zabbix利用discovery批量添加端口监控 - 第1张 | ㄨ销声匿迹、Linux
然后在这个新建的tcp port discover里面建立一个Item
zabbix利用discovery批量添加端口监控 - 第2张 | ㄨ销声匿迹、Linux
最后创建报警的trigger
zabbix利用discovery批量添加端口监控 - 第3张 | ㄨ销声匿迹、Linux
注意这个地方的表达式
{Template OS Linux:net.tcp.listen[{#TCP_PORT}].count(#3,0,eq)}>1
如果你是在单个机器上添加的,这里Template OS Linux就应该是某个机器的具体名称,如果是模版,这里就是模版的名称
.count(#3,0,eq)}>1
表示最后三次的值等于0,触发次数大于一次则报警