因为公司需要过等保二级,需要一个系统来过等保测评,公司内网比较简单且OA、官网等系统部署在云端,所以就搭建了一个zabbix机房运维监控系统来对公司的打印机、交换机等设备进行监控。上上周等由于EDR设备强制在公司下发策略,需要每个客户端都要安装,把公司的有线和无线地址都写进策略里面去了,Zabbix又是搭建在有线网段。
上网行为管理策略图
由于EDR是并联在核心路由器上的,上网行为管理是串联在核心路由器与互联网防火墙之间的,所有流量都需要经过此设备,所有我们需要在上网行为管理上做策略才有用;
告警测试图
由于钉钉告警很久没有收到消息,所以就上zabbix上看了下,发现有告警但是不能发送到钉钉中所有就判断zabbix有问题,我就去查看zabbix日志
zabbix问题图
zabbix日志
这时我看到日志中有CA和SSL字眼我最开始想到的是因为需要过等保测评而给zabbix系统添加的https造成的,所有我查了很多资料,也查看了很多论坛也没有找到原因,删除CA证书和卸载Openssl都没有用,还尝试了各种的办法删除ssl文件等也不行,最后重启这个万能大法也不行。最后我在仔细查看日志发现curl: (60) Peer's Certificate issuer is not recognized.字眼,curl有种很熟悉的感觉,后面我想着随便尝试下curl www.baidu.com;
Curl测试图
发现了一个奇怪的地方,https://10.1.15.2:4430这个不是EDR内网的地址吗,然后我就突然想起公司内网在上网行为管理上做的策略,而这个zabbix地址也在策略里面,所以我就怀疑是因为这个导致的zabbix告警不能正常发送到钉钉上,流量会被重定向到EDR主机上,后面我就尝试将上网行为管理上的策略关闭后重新发送测试告警信息发现正常了。
网友评论