Monitoring auf Ports

In diesem Artikel beschreibe ich, wie Sie mit dem Skript von Edouard Lamoine prüfen können, ob unerwünschte Ports auf Ihren Linux-Servern geöffnet sind. Im ersten Teil wird alles manuell eingerichtet und konfiguriert. Im zweiten Teil zeige ich Ihnen, wie Sie das Plugin über die Agent Bakery verwenden.

Manuelle Einrichtung

  1. Skript herunterladen
  2. Skript auf Zielhosts kopieren
  3. Konfigurationsdatei erzeugen
  4. Serviceerkennung durchführen

Schritte im Detail

Laden Sie das Skript check_listening_ports aus dem Internet:

Kopieren Sie das Skript auf alle Zielhosts auf denen die Überprüfung ausgeführt werden soll. Auf den Zielhosts muss auch netstat installiert sein.

Legen Sie auf den Zielhosts die Konfigurationsdatei /etc/check_mk/mrpe.cfg an:

OpenPorts /PFAD/ZUM/SKRIPT/check_listening_ports Hier kommt die Portliste
OpenPorts /PFAD/ZUM/SKRIPT/check_listening_ports 0.0.0.0:22 :::25

Die Liste der aktuell offenen Ports erhalten Sie so:

/PFAD/ZUM/SKRIPT/check_listening_ports x | sed 's/\///g'

Lassen Sie eine Serviceerkennung laufen, um den neuen Service ins Monitoring aufzunehmen.

Agent Bakery

  1. Skript herunterladen
  2. Den Checkmk-Server vorbereiten
  3. Regeln in der Agent Bakery erzeugen
  4. Agenten backen
  5. Agenten verteilen
  6. Serviceerkennung durchführen

Schritte im Detail

Laden Sie das Skript check_listening_ports aus dem Internet:

Im nächsten Schritt bereiten Sie den Checkmk-Server vor:

su - kurs

Legen Sie die benötigten Verzeichnisse an:

cd local/share/check_mk/agents
mkdir -p custom/openports/bin

Kopieren Sie danach das Plugin check_listening_ports in das neu angelegte Verzeichnis. Danach geht es in der Weboberfläche von Checkmk weiter:

  1. WATO > Monitoring Agents > Rules
  2. Deploy custom files with agents: Wählen Sie das Verzeichnis openports aus.
  3. Execute MRPE Checks: Tragen Sie die Servicebezeichnung und den Befehl für das Plugin ein. Beim Ausrollen landet das Plugin im Verzeichnis /usr/bin.

Damit ist alles vorbereitet: Backen Sie den Agenten, verteilen ihn und lassen auf den betreffenden Zielsystemen die Serviceerkennung laufen.