zabbix监控网络设备用户登陆

近年来网络安全一直很重要，我们管理着上百的网络设备，路由器交换机，什么时候被入侵了，黑客登陆设备了，在哪里登陆的设备，也许我们一无所闻，目前我好像还没有见过哪个网络监控工具有这个功能，因此今天我突发奇想一定要完成这个工作。

实现的思路和过程：

1、写一个Python脚本，通过调用snmp_cmds去读取目标设备的网络连接情况，脚本需要传入2个参数，目标IP和目标设备的读团体字

2、如果没有连接则返回1，如果有连接则返回2

3、如果本次获取和上一次获取的哈希值不一样，且上一次并非空，则返回2，触发告警，且将本次的哈希值写入到文件

4、通过zabbix的key不断的去获取连接情况。

但注意，我这里获取的内容是通过mailx来发送邮件的，你们可能需要自己对应修改或者配置自己的mailx

以下为代码：

#!/usr/bin/python
#

import os,sys,snmp_cmds,hashlib
TargetIP=sys.argv[1]
SNMP=sys.argv[2]
info=\'\'
mFile=\'/dev/shm/\'+TargetIP

tcpConnectCount=int(snmp_cmds.snmpget(TargetIP,\'TCP-MIB::tcpCurrEstab.0\',SNMP).strip())
if not os.path.exists(mFile):
    f=open(mFile,\'w\')
    f.write(\'f9e2eaaa42d9fe9e558a9b8ef1bf366f190aacaa83bad2641ee106e9041096e4\')
    f.close()
if tcpConnectCount > 0:
    devName=snmp_cmds.snmpget(TargetIP,"sysName.0",SNMP).strip()
    info=info+\'设备：\'+TargetIP+\'\t\'+devName+\'\n\'
    info=info+\'LocalAddress\'.ljust(18)+\'LocalPort\'.ljust(12)+\'RemoteAddress\'.ljust(17)+\'RemotePort\'.ljust(12)+\'Status\'.ljust(12)+\'\n\'
    tcpConnState=[ i[-1] for i in snmp_cmds.snmpwalk(TargetIP,\'tcpConnState\',SNMP)]
    tcpConnLocalAddress=[ i[-1] for i in snmp_cmds.snmpwalk(TargetIP,\'tcpConnLocalAddress\',SNMP)]
    tcpConnLocalPort=[ i[-1] for i in snmp_cmds.snmpwalk(TargetIP,\'tcpConnLocalPort\',SNMP)]
    tcpConnRemAddress=[ i[-1] for i in snmp_cmds.snmpwalk(TargetIP,\'tcpConnRemAddress\',SNMP)]
    tcpConnRemPort=[ i[-1] for i in snmp_cmds.snmpwalk(TargetIP,\'tcpConnRemPort\',SNMP)]
    for i in range(len(tcpConnState)):
        info=info+tcpConnLocalAddress[i].ljust(18)+tcpConnLocalPort[i].ljust(12)+tcpConnRemAddress[i].ljust(17)+tcpConnRemPort[i].ljust(12)+tcpConnState[i].ljust(12)
    f=open(mFile,\'r\')
    pinfo=f.read()
    f.close()
    if hashlib.sha3_256(info.encode(\'utf-8\')).hexdigest() != pinfo:
        sendmail=\'echo "\' +info+\'" | /usr/bin/mail -s "\'+devName+\' Loging warning" 623746291@qq.com\'
        os.system(sendmail)
        f=open(mFile,\'w\')
        f.write(hashlib.sha3_256(info.encode(\'utf-8\')).hexdigest())
        f.close()
        print(2)
    else:
        print(1)
else:
    print(1)

触发告警，触发第一次返回2，就告警，再执行，本次该机的tcp连接状态已保存，没有新增也没有减少，和上一次一样，没有变化，因此不会再告警

邮件已到

 

邮件内容显示连接建立的情况，可一目了然