{"id":295,"date":"2026-04-08T01:11:23","date_gmt":"2026-04-07T23:11:23","guid":{"rendered":"https:\/\/pandack.fr\/?p=295"},"modified":"2026-04-08T01:11:23","modified_gmt":"2026-04-07T23:11:23","slug":"zabbix-configuration-hotes-decouverte-elements-triggers","status":"publish","type":"post","link":"https:\/\/pandack.fr\/?p=295","title":{"rendered":"Zabbix-Configuration-Hotes-Decouverte-Elements-Triggers"},"content":{"rendered":"<h2>Zabbix \u2014 H\u00f4tes, D\u00e9couverte, \u00c9l\u00e9ments et D\u00e9clencheurs<\/h2>\n<h4>R\u00e9sum\u00e9<\/h4>\n<p>Ce document explique les concepts fondamentaux de Zabbix et comment on les a mis en place dans le lab FSEC.<\/p>\n<h2>1. Les concepts \u2014 Comment Zabbix fonctionne<\/h2>\n<h3>Vue d&rsquo;ensemble<\/h3>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">code<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code>\u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510     collecte      \u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510     condition     \u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510\n\u2502   H\u00d4TE   \u2502 \u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u25ba \u2502  \u00c9L\u00c9MENT    \u2502 \u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u25ba \u2502 D\u00c9CLENCHEUR   \u2502\n\u2502 (machine)\u2502     des donn\u00e9es   \u2502 (m\u00e9trique)  \u2502     d&#039;alerte     \u2502 (trigger)     \u2502\n\u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518                   \u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518                   \u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518\n                                                                       \u2502\n                                                                       \u25bc\n                                                                \u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510\n                                                                \u2502   ALERTE     \u2502\n                                                                \u2502 (email, etc.)\u2502\n                                                                \u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518<\/code><\/pre>\n<\/div>\n<p><strong>Analogie simple :<\/strong><\/p>\n<ul>\n<li>L&rsquo;<strong>h\u00f4te<\/strong> = la maison qu&rsquo;on surveille<\/li>\n<li>L&rsquo;<strong>\u00e9l\u00e9ment<\/strong> = un capteur (thermom\u00e8tre, d\u00e9tecteur de fum\u00e9e, cam\u00e9ra)<\/li>\n<li>Le <strong>d\u00e9clencheur<\/strong> = la r\u00e8gle d&rsquo;alerte (\u00ab\u00a0si temp\u00e9rature &gt; 50\u00b0C \u2192 alarme incendie\u00a0\u00bb)<\/li>\n<li>L&rsquo;<strong>action<\/strong> = ce qu&rsquo;on fait quand l&rsquo;alarme se d\u00e9clenche (appeler les pompiers = envoyer un email)<\/li>\n<\/ul>\n<h2>2. Les H\u00f4tes<\/h2>\n<h3>C&rsquo;est quoi ?<\/h3>\n<p>Un h\u00f4te dans Zabbix repr\u00e9sente une machine ou un \u00e9quipement \u00e0 surveiller. Chaque h\u00f4te a :<\/p>\n<ul>\n<li>Un <strong>nom<\/strong> (DC01, pfSense-Master, etc.)<\/li>\n<li>Un <strong>groupe<\/strong> (Windows servers, Firewalls, etc.)<\/li>\n<li>Une <strong>interface<\/strong> = comment Zabbix communique avec lui<\/li>\n<\/ul>\n<h3>Les types d&rsquo;interfaces<\/h3>\n<table>\n<thead>\n<tr>\n<th>Type<\/th>\n<th>Comment \u00e7a marche<\/th>\n<th>Utilis\u00e9 pour<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><strong>Agent Zabbix<\/strong><\/td>\n<td>Un logiciel install\u00e9 sur la machine envoie les donn\u00e9es \u00e0 Zabbix<\/td>\n<td>Windows, Linux<\/td>\n<\/tr>\n<tr>\n<td><strong>SNMP<\/strong><\/td>\n<td>Zabbix interroge la machine via le protocole SNMP (pas besoin d&rsquo;installer quoi que ce soit)<\/td>\n<td>pfSense, switches, imprimantes<\/td>\n<\/tr>\n<tr>\n<td><strong>ICMP<\/strong><\/td>\n<td>Zabbix ping la machine<\/td>\n<td>V\u00e9rification simple de disponibilit\u00e9<\/td>\n<\/tr>\n<tr>\n<td><strong>JMX<\/strong><\/td>\n<td>Pour les applications Java<\/td>\n<td>Non utilis\u00e9 dans notre lab<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Les templates (mod\u00e8les)<\/h3>\n<p>Un template est un <strong>pack pr\u00e9-configur\u00e9<\/strong> d&rsquo;\u00e9l\u00e9ments, d\u00e9clencheurs et graphiques pour un type de machine. Par exemple :<\/p>\n<ul>\n<li><code>Windows by Zabbix agent<\/code> \u2192 cr\u00e9e automatiquement ~130 \u00e9l\u00e9ments (CPU, RAM, disque, services Windows)<\/li>\n<li><code>PFSense by SNMP<\/code> \u2192 cr\u00e9e automatiquement ~226 \u00e9l\u00e9ments (trafic r\u00e9seau, interfaces, services pfSense)<\/li>\n<\/ul>\n<p>Sans template, l&rsquo;h\u00f4te est vide \u2014 il faut tout cr\u00e9er \u00e0 la main.<\/p>\n<h3>Nos h\u00f4tes dans le lab<\/h3>\n<table>\n<thead>\n<tr>\n<th>H\u00f4te<\/th>\n<th>IP<\/th>\n<th>Type d&rsquo;interface<\/th>\n<th>Template<\/th>\n<th>Ce qu&rsquo;il surveille<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>DC01<\/td>\n<td>10.10.20.10<\/td>\n<td>Agent Zabbix (port 10050)<\/td>\n<td>Windows by Zabbix agent<\/td>\n<td>CPU, RAM, disque, services Windows, r\u00e9plication AD<\/td>\n<\/tr>\n<tr>\n<td>DC02<\/td>\n<td>10.10.20.11<\/td>\n<td>Agent Zabbix (port 10050)<\/td>\n<td>Windows by Zabbix agent<\/td>\n<td>CPU, RAM, disque, services Windows<\/td>\n<\/tr>\n<tr>\n<td>pfSense-Master<\/td>\n<td>10.10.20.2<\/td>\n<td>SNMP (port 161)<\/td>\n<td>PFSense by SNMP<\/td>\n<td>Trafic r\u00e9seau, interfaces, services pfSense<\/td>\n<\/tr>\n<tr>\n<td>pfSense-Backup<\/td>\n<td>10.10.20.3<\/td>\n<td>SNMP (port 161)<\/td>\n<td>PFSense by SNMP<\/td>\n<td>Trafic r\u00e9seau, interfaces, services pfSense<\/td>\n<\/tr>\n<tr>\n<td>CARP-VIPs<\/td>\n<td>aucune<\/td>\n<td>Aucune interface<\/td>\n<td>Aucun template<\/td>\n<td>Disponibilit\u00e9 des VIP (Zabbix ping lui-m\u00eame)<\/td>\n<\/tr>\n<tr>\n<td>Zabbix server<\/td>\n<td>127.0.0.1<\/td>\n<td>Agent Zabbix<\/td>\n<td>Linux by Zabbix agent + Zabbix server health<\/td>\n<td>Auto-supervision<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>3. La D\u00e9couverte r\u00e9seau<\/h2>\n<h3>C&rsquo;est quoi ?<\/h3>\n<p>La d\u00e9couverte r\u00e9seau permet \u00e0 Zabbix de <strong>scanner automatiquement<\/strong> un r\u00e9seau et de d\u00e9tecter les machines qui ont un agent Zabbix ou qui r\u00e9pondent en SNMP. C&rsquo;est l&rsquo;alternative \u00e0 ajouter chaque h\u00f4te manuellement.<\/p>\n<h3>Comment \u00e7a fonctionne<\/h3>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">code<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code>\u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510\n\u2502 R\u00e8gle de d\u00e9couverte  \u2502  &quot;Scanne 10.10.20.1-254 toutes les heures&quot;\n\u2502 (scan le r\u00e9seau)     \u2502  &quot;V\u00e9rifie si l&#039;agent Zabbix r\u00e9pond (system.hostname)&quot;\n\u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u252c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518\n           \u2502 trouve des machines\n           \u25bc\n\u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510\n\u2502 Action de d\u00e9couverte \u2502  &quot;Si trouv\u00e9 \u2192 ajouter l&#039;h\u00f4te + lui attacher le template&quot;\n\u2502 (que faire)          \u2502\n\u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518<\/code><\/pre>\n<\/div>\n<h3>Nos r\u00e8gles de d\u00e9couverte<\/h3>\n<p><strong>Pourquoi deux r\u00e8gles s\u00e9par\u00e9es ?<\/strong><br \/>\nParce que Windows et Linux utilisent des templates diff\u00e9rents. Si on avait une seule r\u00e8gle, on ne pourrait pas savoir automatiquement quel template assigner.<\/p>\n<table>\n<thead>\n<tr>\n<th>R\u00e8gle<\/th>\n<th>Plage IP<\/th>\n<th>V\u00e9rification<\/th>\n<th>Template auto<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><code>D\u00e9couverte-Windows<\/code><\/td>\n<td>10.10.20.10-11, 10.10.40.50-51<\/td>\n<td>Agent Zabbix <code>system.hostname<\/code><\/td>\n<td>Windows by Zabbix agent<\/td>\n<\/tr>\n<tr>\n<td><code>D\u00e9couverte-Linux<\/code><\/td>\n<td>10.10.20.20-60, 10.10.40.52-53<\/td>\n<td>Agent Zabbix <code>system.hostname<\/code><\/td>\n<td>Linux by Zabbix agent<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Action de d\u00e9couverte<\/h3>\n<p>L&rsquo;action d\u00e9finit <strong>ce qui se passe<\/strong> quand une machine est trouv\u00e9e :<\/p>\n<ol>\n<li><strong>Ajouter l&rsquo;h\u00f4te<\/strong> dans Zabbix<\/li>\n<li><strong>Lier au mod\u00e8le<\/strong> (template) appropri\u00e9<\/li>\n<\/ol>\n<blockquote><p><strong>Attention :<\/strong> sans action, la d\u00e9couverte d\u00e9tecte les machines mais ne fait rien. On a eu ce probl\u00e8me avec DC02 \u2014 il \u00e9tait d\u00e9couvert mais sans template, donc pas de supervision.<\/p><\/blockquote>\n<h3>Param\u00e8tres importants<\/h3>\n<ul>\n<li><strong>Cl\u00e9<\/strong> : <code>system.hostname<\/code> \u2014 c&rsquo;est la donn\u00e9e que Zabbix demande \u00e0 l&rsquo;agent pour identifier la machine<\/li>\n<li><strong>Nom de l&rsquo;h\u00f4te<\/strong> : <code>agent Zabbix &quot;system.hostname&quot;<\/code> \u2014 Zabbix utilise le hostname configur\u00e9 dans l&rsquo;agent comme nom d&rsquo;affichage<\/li>\n<li><strong>Intervalle<\/strong> : <code>1h<\/code> \u2014 fr\u00e9quence du scan (ne pas mettre trop court pour ne pas surcharger le r\u00e9seau)<\/li>\n<li><strong>Plage IP<\/strong> : format <code>10.10.20.1-254,10.10.40.1-254<\/code> (virgules, pas de retour \u00e0 la ligne)<\/li>\n<\/ul>\n<h2>4. Les \u00c9l\u00e9ments (Items)<\/h2>\n<h3>C&rsquo;est quoi ?<\/h3>\n<p>Un \u00e9l\u00e9ment est une <strong>donn\u00e9e collect\u00e9e<\/strong> sur un h\u00f4te. C&rsquo;est la brique de base de la supervision. Exemples :<\/p>\n<ul>\n<li>CPU utilis\u00e9 en %<\/li>\n<li>Espace disque libre<\/li>\n<li>Nombre de paquets r\u00e9seau<\/li>\n<li>Est-ce qu&rsquo;un service Windows tourne ?<\/li>\n<\/ul>\n<h3>Types d&rsquo;\u00e9l\u00e9ments qu&rsquo;on utilise<\/h3>\n<table>\n<thead>\n<tr>\n<th>Type<\/th>\n<th>Explication<\/th>\n<th>Exemple dans notre lab<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><strong>Agent Zabbix<\/strong><\/td>\n<td>L&rsquo;agent install\u00e9 sur la machine collecte la donn\u00e9e<\/td>\n<td>CPU de DC01, RAM de DC02<\/td>\n<\/tr>\n<tr>\n<td><strong>Agent SNMP<\/strong><\/td>\n<td>Zabbix interroge la machine via SNMP<\/td>\n<td>Trafic r\u00e9seau de pfSense<\/td>\n<\/tr>\n<tr>\n<td><strong>V\u00e9rification simple<\/strong><\/td>\n<td>Zabbix lui-m\u00eame ex\u00e9cute le check (pas besoin d&rsquo;agent)<\/td>\n<td><code>icmpping<\/code> \u2014 Zabbix ping les VIP<\/td>\n<\/tr>\n<tr>\n<td><strong>Agent Zabbix (system.run)<\/strong><\/td>\n<td>L&rsquo;agent ex\u00e9cute une commande custom<\/td>\n<td><code>repadmin<\/code> pour v\u00e9rifier la r\u00e9plication AD<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Nos \u00e9l\u00e9ments custom (cr\u00e9\u00e9s \u00e0 la main)<\/h3>\n<p>Les templates cr\u00e9ent automatiquement des centaines d&rsquo;\u00e9l\u00e9ments standards (CPU, RAM, disque&#8230;). Mais pour des besoins sp\u00e9cifiques, on cr\u00e9e des \u00e9l\u00e9ments manuels :<\/p>\n<p><strong>5 \u00e9l\u00e9ments ICMP pour les VIP CARP :<\/strong><\/p>\n<table>\n<thead>\n<tr>\n<th>\u00c9l\u00e9ment<\/th>\n<th>Cl\u00e9<\/th>\n<th>H\u00f4te<\/th>\n<th>Retourne<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>VIP FSEC.ADM (10.10.10.1)<\/td>\n<td><code>icmpping[10.10.10.1]<\/code><\/td>\n<td>CARP-VIPs<\/td>\n<td>1 = up, 0 = down<\/td>\n<\/tr>\n<tr>\n<td>VIP FSEC.SRV (10.10.20.1)<\/td>\n<td><code>icmpping[10.10.20.1]<\/code><\/td>\n<td>CARP-VIPs<\/td>\n<td>1 = up, 0 = down<\/td>\n<\/tr>\n<tr>\n<td>VIP FSEC.CLT (10.10.30.1)<\/td>\n<td><code>icmpping[10.10.30.1]<\/code><\/td>\n<td>CARP-VIPs<\/td>\n<td>1 = up, 0 = down<\/td>\n<\/tr>\n<tr>\n<td>VIP FSEC.BCK (10.10.40.1)<\/td>\n<td><code>icmpping[10.10.40.1]<\/code><\/td>\n<td>CARP-VIPs<\/td>\n<td>1 = up, 0 = down<\/td>\n<\/tr>\n<tr>\n<td>VIP DMZ (172.16.0.1)<\/td>\n<td><code>icmpping[172.16.0.1]<\/code><\/td>\n<td>CARP-VIPs<\/td>\n<td>1 = up, 0 = down<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<blockquote><p><strong>Pourquoi un h\u00f4te s\u00e9par\u00e9 \u00ab\u00a0CARP-VIPs\u00a0\u00bb ?<\/strong><\/p>\n<p>Les VIP CARP sont des adresses IP virtuelles partag\u00e9es entre le Master et le Backup. Elles ne sont pas li\u00e9es \u00e0 une machine physique \u2014 c&rsquo;est le n\u0153ud CARP actif qui r\u00e9pond. On ne peut pas les mettre dans pfSense-Master car si le Master tombe, le Backup prend le relai et la VIP continue de r\u00e9pondre. C&rsquo;est une supervision orient\u00e9e <strong>service<\/strong> (est-ce que le r\u00e9seau fonctionne ?) plut\u00f4t que <strong>machine<\/strong> (est-ce que le Master tourne ?).<\/p>\n<\/blockquote>\n<p><strong>1 \u00e9l\u00e9ment custom pour la r\u00e9plication AD :<\/strong><\/p>\n<table>\n<thead>\n<tr>\n<th>\u00c9l\u00e9ment<\/th>\n<th>Cl\u00e9<\/th>\n<th>H\u00f4te<\/th>\n<th>Retourne<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>AD Replication Status<\/td>\n<td><code>system.run[&quot;powershell -Command &quot;(repadmin \/replsummary \/bysrc \/errorsonly | Select-String &#039;error&#039;).Count&quot;&quot;]<\/code><\/td>\n<td>DC01<\/td>\n<td>0 = sain, &gt;0 = erreurs<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<blockquote><p><strong>Pr\u00e9requis :<\/strong> il faut autoriser <code>system.run<\/code> dans la config de l&rsquo;agent Zabbix :<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">code<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code>AllowKey=system.run[*]<\/code><\/pre>\n<\/div>\n<p>Sans cette ligne, l&rsquo;agent refuse d&rsquo;ex\u00e9cuter des commandes custom (s\u00e9curit\u00e9 par d\u00e9faut).<\/p>\n<\/blockquote>\n<h2>5. Les D\u00e9clencheurs (Triggers)<\/h2>\n<h3>C&rsquo;est quoi ?<\/h3>\n<p>Un d\u00e9clencheur est une <strong>condition d&rsquo;alerte<\/strong> attach\u00e9e \u00e0 un \u00e9l\u00e9ment. Il dit : \u00ab\u00a0si tel \u00e9l\u00e9ment atteint telle valeur, alors il y a un probl\u00e8me\u00a0\u00bb.<\/p>\n<p>Sans d\u00e9clencheur, Zabbix collecte des donn\u00e9es mais <strong>ne pr\u00e9vient personne<\/strong>. C&rsquo;est la diff\u00e9rence entre :<\/p>\n<ul>\n<li>Un <strong>thermom\u00e8tre<\/strong> (\u00e9l\u00e9ment) \u2192 il mesure la temp\u00e9rature<\/li>\n<li>Une <strong>alarme incendie<\/strong> (d\u00e9clencheur) \u2192 elle se d\u00e9clenche quand la temp\u00e9rature d\u00e9passe un seuil<\/li>\n<\/ul>\n<h3>Les s\u00e9v\u00e9rit\u00e9s<\/h3>\n<table>\n<thead>\n<tr>\n<th>S\u00e9v\u00e9rit\u00e9<\/th>\n<th>Couleur<\/th>\n<th>Usage<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Non class\u00e9<\/td>\n<td>Gris<\/td>\n<td>Information<\/td>\n<\/tr>\n<tr>\n<td>Information<\/td>\n<td>Bleu<\/td>\n<td>\u00c0 noter mais pas urgent<\/td>\n<\/tr>\n<tr>\n<td>Avertissement<\/td>\n<td>Jaune<\/td>\n<td>Attention requise<\/td>\n<\/tr>\n<tr>\n<td>Moyen<\/td>\n<td>Orange<\/td>\n<td>Probl\u00e8me \u00e0 traiter<\/td>\n<\/tr>\n<tr>\n<td>Haut<\/td>\n<td>Rouge<\/td>\n<td>Impact service important<\/td>\n<\/tr>\n<tr>\n<td>D\u00e9sastre<\/td>\n<td>Rouge fonc\u00e9<\/td>\n<td>Panne critique<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>La syntaxe des expressions<\/h3>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">code<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code>last(\/NOM_HOTE\/CL\u00c9_ELEMENT)=VALEUR<\/code><\/pre>\n<\/div>\n<p>Exemple : <code>last(\/CARP-VIPs\/icmpping[10.10.10.1])=0<\/code><\/p>\n<p>\u00c7a veut dire : \u00ab\u00a0la derni\u00e8re valeur de l&rsquo;item <code>icmpping[10.10.10.1]<\/code> de l&rsquo;h\u00f4te <code>CARP-VIPs<\/code> est \u00e9gale \u00e0 0&Prime; \u2192 la VIP ne r\u00e9pond plus \u2192 PROBL\u00c8ME.<\/p>\n<h3>Nos d\u00e9clencheurs custom<\/h3>\n<p><strong>5 triggers VIP CARP (s\u00e9v\u00e9rit\u00e9 Haute) :<\/strong><\/p>\n<table>\n<thead>\n<tr>\n<th>D\u00e9clencheur<\/th>\n<th>Expression<\/th>\n<th>Signification<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>VIP FSEC.ADM indisponible<\/td>\n<td><code>last(\/CARP-VIPs\/icmpping[10.10.10.1])=0<\/code><\/td>\n<td>Plus aucun pfSense ne r\u00e9pond sur le segment ADM<\/td>\n<\/tr>\n<tr>\n<td>VIP FSEC.SRV indisponible<\/td>\n<td><code>last(\/CARP-VIPs\/icmpping[10.10.20.1])=0<\/code><\/td>\n<td>Plus aucun pfSense ne r\u00e9pond sur le segment SRV<\/td>\n<\/tr>\n<tr>\n<td>VIP FSEC.CLT indisponible<\/td>\n<td><code>last(\/CARP-VIPs\/icmpping[10.10.30.1])=0<\/code><\/td>\n<td>Plus aucun pfSense ne r\u00e9pond sur le segment CLT<\/td>\n<\/tr>\n<tr>\n<td>VIP FSEC.BCK indisponible<\/td>\n<td><code>last(\/CARP-VIPs\/icmpping[10.10.40.1])=0<\/code><\/td>\n<td>Plus aucun pfSense ne r\u00e9pond sur le segment BCK<\/td>\n<\/tr>\n<tr>\n<td>VIP DMZ indisponible<\/td>\n<td><code>last(\/CARP-VIPs\/icmpping[172.16.0.1])=0<\/code><\/td>\n<td>Plus aucun pfSense ne r\u00e9pond sur la DMZ<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>1 trigger r\u00e9plication AD (s\u00e9v\u00e9rit\u00e9 Haute) :<\/strong><\/p>\n<table>\n<thead>\n<tr>\n<th>D\u00e9clencheur<\/th>\n<th>Expression<\/th>\n<th>Signification<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Erreur de r\u00e9plication AD<\/td>\n<td><code>last(\/DC01\/system.run[...])&gt;0<\/code><\/td>\n<td>La r\u00e9plication entre DC01 et DC02 a des erreurs<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Comment tester un trigger ?<\/h3>\n<p>Pour v\u00e9rifier que le trigger fonctionne, on peut simuler une panne :<\/p>\n<ul>\n<li><strong>VIP CARP<\/strong> : \u00e9teindre les deux pfSense \u2192 les VIP ne r\u00e9pondent plus \u2192 le trigger passe en PROBL\u00c8ME<\/li>\n<li><strong>R\u00e9plication AD<\/strong> : arr\u00eater DC02 \u2192 la r\u00e9plication \u00e9choue \u2192 le compteur d&rsquo;erreurs passe au-dessus de 0<\/li>\n<\/ul>\n<h2>6. Le Dashboard (Tableau de bord)<\/h2>\n<h3>C&rsquo;est quoi ?<\/h3>\n<p>Le dashboard est la <strong>vue d&rsquo;ensemble<\/strong> que l&rsquo;\u00e9quipe d&rsquo;exploitation consulte pour voir d&rsquo;un coup d&rsquo;\u0153il l&rsquo;\u00e9tat de l&rsquo;infrastructure. Il regroupe des <strong>widgets<\/strong> :<\/p>\n<table>\n<thead>\n<tr>\n<th>Widget<\/th>\n<th>Type Zabbix<\/th>\n<th>Ce qu&rsquo;il montre<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Probl\u00e8mes actifs<\/td>\n<td><code>Probl\u00e8mes<\/code><\/td>\n<td>Liste des alertes en cours<\/td>\n<\/tr>\n<tr>\n<td>Disponibilit\u00e9 infrastructure<\/td>\n<td><code>Disponibilit\u00e9 de l&#039;h\u00f4te<\/code><\/td>\n<td>Combien d&rsquo;h\u00f4tes sont up\/down par type<\/td>\n<\/tr>\n<tr>\n<td>\u00c9tat VIP CARP<\/td>\n<td><code>Navigateur d&#039;\u00e9l\u00e9ments<\/code><\/td>\n<td>Valeur en temps r\u00e9el des 5 pings VIP<\/td>\n<\/tr>\n<tr>\n<td>Vue globale alertes<\/td>\n<td><code>Aper\u00e7u des d\u00e9clencheurs<\/code><\/td>\n<td>Matrice h\u00f4tes \u00d7 d\u00e9clencheurs avec couleurs<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>7. D\u00e9ploiement des agents<\/h2>\n<h3>Agent Windows (via GPO)<\/h3>\n<p><strong>\u00c9tape 1 \u2014 Copier le MSI sur le partage NETLOGON :<\/strong><\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">powershell<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-powershell\">Copy-Item &quot;C:UsersAdministrateurDownloadszabbix_agent2-7.4.8-windows-amd64-openssl.msi&quot; `\n  &quot;C:WindowsSYSVOLsysvolfsec.lanscripts&quot;<\/code><\/pre>\n<\/div>\n<p><strong>\u00c9tape 2 \u2014 Installer via commande (pas via GPO Software Installation) :<\/strong><\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">powershell<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-powershell\">msiexec \/i &quot;\\fsec.lanNETLOGONzabbix_agent2-7.4.8-windows-amd64-openssl.msi&quot; \/quiet `\n  SERVER=10.10.20.31 `\n  SERVERACTIVE=10.10.20.31 `\n  HOSTNAME=DC02<\/code><\/pre>\n<\/div>\n<blockquote><p><strong>Pourquoi pas GPO Software Installation ?<\/strong><\/p>\n<p>Le MSI Zabbix exige des param\u00e8tres interactifs (IP du serveur, hostname). La m\u00e9thode \u00ab\u00a0Installation de logiciels\u00a0\u00bb dans GPO ne permet pas de passer ces param\u00e8tres. L&rsquo;installation \u00e9choue avec l&rsquo;erreur \u00ab\u00a0Please enter the name or IP address of Zabbix server\u00a0\u00bb. Il faut passer par <code>msiexec<\/code> avec les param\u00e8tres en ligne de commande.<\/p>\n<\/blockquote>\n<p><strong>\u00c9tape 3 \u2014 Script GPO pour configurer automatiquement :<\/strong><\/p>\n<p>Fichier <code>\\fsec.lanNETLOGONconfigure-zabbix.ps1<\/code> :<\/p>\n<div class=\"code-block-wrapper\">\n<div class=\"code-block-header\"><span class=\"code-language\">powershell<\/span><button class=\"code-copy-btn\" type=\"button\">Copier<\/button><\/div>\n<pre><code class=\"language-powershell\">$configFile = &quot;C:Program FilesZabbix Agent 2zabbix_agent2.conf&quot;\n(Get-Content $configFile) `\n  -replace &#039;Server=127.0.0.1&#039;, &#039;Server=10.10.20.31&#039; `\n  -replace &#039;ServerActive=127.0.0.1&#039;, &#039;ServerActive=10.10.20.31&#039; |\nSet-Content $configFile\nRestart-Service &quot;Zabbix Agent 2&quot;<\/code><\/pre>\n<\/div>\n<p>Ajouter dans GPO \u2192 Configuration ordinateur \u2192 Strat\u00e9gies \u2192 Param\u00e8tres Windows \u2192 Scripts (d\u00e9marrage) \u2192 Scripts PowerShell.<\/p>\n<h3>SNMP pfSense<\/h3>\n<p>Sur chaque pfSense \u2192 <strong>Services \u2192 SNMP<\/strong> :<\/p>\n<ul>\n<li>Enable \u2705<\/li>\n<li>Port : <code>161<\/code><\/li>\n<li>Community string : <code>fsec-snmp<\/code><\/li>\n<li>Bind interfaces : <code>FSECSRV<\/code><\/li>\n<\/ul>\n<blockquote><p><strong>Attention :<\/strong> la config SNMP ne se synchronise PAS entre les deux pfSense via XMLRPC. Il faut la configurer manuellement sur Master ET Backup.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Zabbix \u2014 H\u00f4tes, D\u00e9couverte, \u00c9l\u00e9ments et D\u00e9clencheurs R\u00e9sum\u00e9 Ce document explique les concepts fondamentaux de Zabbix et comment on les a mis en place dans le lab FSEC. 1. Les concepts \u2014 Comment Zabbix<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[166,172],"tags":[],"class_list":["post-295","post","type-post","status-publish","format-standard","hentry","category-infrastructure","category-infrastructure-siem"],"_links":{"self":[{"href":"https:\/\/pandack.fr\/index.php?rest_route=\/wp\/v2\/posts\/295","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pandack.fr\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pandack.fr\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pandack.fr\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/pandack.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=295"}],"version-history":[{"count":0,"href":"https:\/\/pandack.fr\/index.php?rest_route=\/wp\/v2\/posts\/295\/revisions"}],"wp:attachment":[{"href":"https:\/\/pandack.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=295"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pandack.fr\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=295"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pandack.fr\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=295"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}