Random thoughts

Hi there

This is just a reminder, that I have to write al least one post a year
I have been doing sysadmin work these years so this month help me to
reorganize my key objectives, family at first always and improving myself
learning things at Platzi, I'm learning a lot there.

I hope to write new post soon

Best regards

Zabbix VMware Datastore

Tomamos de referencia la guía oficial de André

https://share.zabbix.com/virtualization/vmware/template-vmware-datastore-monitoring

De acuerdo a esto nos indica:

Hay que tener el valor del Esxi UUID
Eso lo conseguimos en configuraciones avanzadas
Config => HostAgent => plugins => solo 
Hacer check en "Config.HostAgent.plugins.solo.enableMob"
Se habilita y se guarda

Ahora se tiene que abrir un navegador y abrir la direccion del esxi

https://esxi.hostname/mob/?moid=ha-host&doPath=hardware.systemInfo

Te pide usuario y clave para ingresar, ponemos las credenciales del ESXi y luego nos sale la siguiente informacion

Se deshabilita la opcion "Config.HostAgent.plugins.solo.enableMob" 

le hacemos uncheck y le damos aceptar.

El Hostname sera el UUID 

Creamos un usuario en el esxi de solo lectura

y en la opción Macros se pone los siguientes valores

Luego de ello se tiene que reiniciar el servicio de Zabbix en el servidor.

Zabbix busy unreachable poller processes 100%

Se tenia este problema en el servidor zabbix
Buscando soluciones recomendaron bajar el valor de "Keep lost resources period" a cero

para ello vamos a:
Configuration => Templates => Template SNMP Device
Una vez alli vamos a "Discovery rules" y hacemos click en "Network interfaces"

Y nos sale la pantalla donde debemos aplicar el cambio

Despues de aplicado el cambio se observo el cambio significativo

Fuente:
https://www.zabbix.com/forum/showthread.php?t=58102
https://www.zabbix.com/documentation/3.2/manual/discovery/low_level_discovery

Graylog Fortinet

Basicamente esta es un guia de mandar los logs del fortigate hacia un servidor graylog

Descargamos el "Fortigate_Content_Pack"
https://github.com/juiceman84/Fortigate_Content_Pack

Seguimos las instrucciones
1.- Importamos el content pack

Creamos el Input en el Graylog
Seleccionamos el Syslogudp y le damos click en Launch new input

En la nueva ventana seleccionamos global, le ponemos un nombre y el puerto udp

Ahora importamos los extractores "extractors"
vamos a "Manage extractors"

Le damos click en Import extractors

En la pantalla siguiente copiamos el contenido del archivo que descargamos previamente

Fortigate_Content_Pack-master\extractors\fortigate.txt


Una vez terminado hay que darle en el "Add extractors to input"

En la imagen anterior en el puerto le indicamos 12345

hay que crear una linea de iptables para redirigir ese trafico que viene al puerto 12345

#iptables -t nat -A PREROUTING -i eth0 -p udp -m udp --dport 514 -j REDIRECT --to-ports 12345

 Una vez realizado estos cambios hay que ir al fortinet y apuntarlo al syslog

 

Una vez que el fortigate apunte al graylog, se empieza a recibir los mensajes en el graylog

hacemos click en Show received messages 

Fuentes:
https://github.com/alias454/graylog-fortinet-content-pack
https://github.com/juiceman84/Fortigate_Content_Pack
https://github.com/Graylog2/graylog2-server/issues/3706
https://advanxer.com/blog/2014/10/graylog2-could-not-bind-udp-syslog-input-to-address-0-0-0-0514-failed-to-bind-to-0-0-0-0514-address-already-in-use/

Graylog

Graylog es un servidor syslog tiene un frontend y funcion con Elasticsearch y MongoDB

mas informacion aca

http://docs.graylog.org/en/latest/index.html

Instalamos los prerequisitos

Instalamos Java
yum install -y java-1.8.0-openjdk

Aplicativo pwgen usado mas adelante
yum install pwgen


Instalamos Mongodb

Agregamos el repositorio

vim /etc/yum.repos.d/mongodb-org-3.4.repo

[mongodb-org-3.4]
name=MongoDB Repository
baseurl=https://repo.mongodb.org/yum/redhat/$releasever/mongodb-org/3.4/x86_64/
gpgcheck=1
enabled=1
gpgkey=https://www.mongodb.org/static/pgp/server-3.4.asc 

yum install -y mongodb-org

Instalacion de elasticsearch

Agregamos el repositorio
vim /etc/yum.repos.d/elasticsearch.repo

[elasticsearch-5.x]
name=Elasticsearch repository for 5.x packages
baseurl=https://artifacts.elastic.co/packages/5.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

yum install elasticsearch -y

Modificamos el archivo

/etc/elasticsearch/elasticsearch.yml

cluster.name: graylog
network.host: IP
http.port: 9200

Luego iniciamos el servicio

systemctl daemon-reload
systemctl enable elasticsearch.service
systemctl restart elasticsearch.service

Validamos el funcionamiento

curl -X GET http://IP:9200
Y obtendremos

{
  "name" : "kF_bX2i",
  "cluster_name" : "graylog",
  "cluster_uuid" : "iWSBIhw4S6us8PNS7_vpWw",
  "version" : {
    "number" : "5.5.0",
    "build_hash" : "260387d",
    "build_date" : "2017-06-30T23:16:05.735Z",
    "build_snapshot" : false,
    "lucene_version" : "6.6.0"
  },
  "tagline" : "You Know, for Search"
}


Vamos a los paquets
https://packages.graylog2.org/packages

Descargamos la ultima version
https://www.graylog.org/blog/96-announcing-graylog-v2-3-0-rc-1

rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-2.3-repository_latest.rpm

yum clean all

yum install graylog-server 

Una vez instalado hay que modificar el archivo /etc/graylog/server/server.conf

para el valor password_secret 

como indican usamos pwgen

# Generate one by using for example: pwgen -N 1 -s 96   

para el valor root_password_sha2

usamos esto: echo -n tuclave | sha256sum

la clave generada lo colocamos en la variable root_password_sha2 = 

para el valor rest_listen_uri 

ponemos la ip del servidor

rest_listen_uri = http://IP:9000/api/

para el valor web_listen_uri 

ponemos la ip del servidor

web_listen_uri = http://IP:9000/ 

para el valor elasticsearch_hosts

ponemos la IP del servidor 

elasticsearch_hosts = http://IP:9200

para el valor root_timezone

root_timezone = America/Lima

Guardamos los cambios y levantamos el servicio

systemctl daemon-reload
systemctl enable graylog-server.service
systemctl start graylog-server.service

Sources:
http://docs.graylog.org/en/latest/pages/installation/operating_system_packages.html
http://docs.graylog.org/en/latest/pages/installation/os/centos.html
https://docs.mongodb.com/manual/tutorial/install-mongodb-on-red-hat/
https://www.elastic.co/guide/en/elasticsearch/reference/current/rpm.html
http://docs.graylog.org/en/latest/pages/installation/manual_setup.html

Zabbix Grafana

Para integrar Zabbix con grafana

Primero instalamos grafana en el equipo

Agregamos el repositorio
#vim /etc/yum.repos.d/grafana.repo



hacemos un
#yum install grafana

#systemctl daemon-reload
#systemctl start grafana-server
#systemctl status grafana-server

#systemctl enable grafana-server.service 

Luego de instalar grafana vamos a instalar el plugin de Zabbix

grafana-cli plugins install alexanderzobnin-zabbix-app

Se reinicia el servicio grafana para aplicar los cambios

service grafana-server restart

Entramos a la pagina web
http://ip:3000



Y habilitamos el plugin, luego habilitamos el datasource



Una vez llenado los campos



Tiene que salir un mensaje de Success



Vamos a Dashboards le damos click a Import y empezamos a usar los dashboards


Fuente:
http://docs.grafana.org/installation/rpm/
https://github.com/alexanderzobnin/grafana-zabbix
https://grafana.com/plugins/alexanderzobnin-zabbix-app
http://docs.grafana-zabbix.org/guides/gettingstarted/