CentOS: リモート サーバー上の nrpe/snmp エージェントからの出力を読み取ることができません。ローカルでは動作しますが、何が間違っているのでしょうか?

なぜ NRPE を使用して SNMP 経由でチェックするのですか? snmp が外部インターフェイスでリッスンしていると仮定すると、Nagios ボックスから直接確認できます (netstat のコメントから判断すると、間違ったポートを探しているにもかかわらず、これを望んでいるようです)。

SSL サポートなしで NRPE をコンパイルしていない限り、-n を使用しないでください。

（また、-p 5666デフォルトなので、-t 10。

1. Nagios ボックスの IP が allowed_hosts リストに含まれていることを確認します。
2. 引数なしで「check_nrpe -H dbr4」を実行して、NRPEデーモンと通信できるかどうかを確認します。NRPEのバージョン番号が返されるはずです。
3. nrpe.cfg の「command[check_ifstatus]」行が手動テストと一致していることを確認します。

Keith の回答が最も正確です。SNMP チェックを行うために NRPE を使用する必要はなく、不必要な複雑さが追加されます。

getenforceとはいえ、 SELinux がオフになっていることがわかっている場合を除いて、ここで最も可能性が高い問題は SELinux です。NRPE ホストで実行します。「Enforcing」と表示されている場合、SELinux は有効になっています。SELinux が有効になっている場合は、 check_nrpeNagios ホストからコマンドを実行し、/var/log/audit/audit.logNRPE ホストで確認します。「type=AVC」で「avc: denied」と表示されている行がある場合は、SELinux の制限に違反している可能性があります。

これを回避する簡単な方法は、編集して に/etc/selinux/config設定してSELinux をオフSELINUXにすることですpermissive(このシステムで将来的に SELinux を再度有効にする予定がある場合) または に設定してdisabled(このシステムで SELinux を再度実行しないことが確実な場合)。もちろん、これを行うと SELinux の利点が失われます。

プラグインの SELinux コンテキストを変更することで、この問題を解決できる可能性がありますcheck_ifstatus。 でコンテキストを確認できますls -Z。私のシステム (標準ターゲット ポリシーを使用) では、コンテキストは "system_u:object_r:nagios_system_plugin_exec_t:s0" で、その "nagios_system_plugin_exec_t" が重要な部分です。 で "nagios_system_plugin_exec_t" に設定してもchcon -t nagios_system_plugin_exec_t check_ifstatus機能しない場合は、"nagios_unconfined_plugin_exec_t" で試してみてください。これらの変更のいずれかが機能する場合は、 で永続化する必要がありますsemanage fcontext -a -t nagios_system_plugin_exec_t '/usr/lib(64)?/nagios/plugins/check_ifstatus'。

どれもうまくいかない場合は、ループバック アドレスを使用するプロセスに対する制限に遭遇している可能性があり、AVC メッセージを確認して独自の SELinux ポリシーを作成する必要があります。私はまだ十分な経験がないのでアドバイスは提供できませんが (「Nagios ホストから直接 SNMP をチェックしてください。それが SNMP の目的です」以外)、これを行う方法についての参考資料がオンラインでいくつかあります。SELinuxaudit2allowポリシーの適応プロセスに役立つ を調べるとよいでしょう。