Monitorar el registre d'esdeveniments de Windows mitjançant comprovacions actives

Introducció

Aquesta guia explica com monitorar els registres d'esdeveniments de Windows amb Zabbix mitjançant comprovacions actives. Amb les claus d'element específiques de Windows de Zabbix, podeu recopilar i analitzar esdeveniments crítics (com ara intents d'inici de sessió fallits, errors del sistema, etc.) en temps real.

A qui s'adreça aquesta guia

Aquesta guia és dissenyada per a nous usuaris de Zabbix i administradors de xarxa que vulguin monitorar els registres d'esdeveniments de Windows. Per a opcions de configuració avançades, consulteu la documentació de Claus d'element específiques de Windows.

Requisits previs

Abans de continuar amb aquesta guia, heu de descarregar i instal·lar el servidor Zabbix i el frontend de Zabbix segons les instruccions del vostre sistema operatiu. També us cal descarregar i instal·lar l'agent Zabbix a la màquina Windows que voleu monitorar.

Configurra l'agent Zabbix per al monitoratge del registre d'esdeveniments de Windows

1. Obriu zabbix_agentd.conf (camí per defecte C:\Program Files\Zabbix Agent\zabbix_agentd.conf) al vostre equip Windows i assegureu-vos que el paràmetre ServerActive sigui definit a l'adreça IP del vostre servidor Zabbix, i el [Host]. Això permet a l'agent sol·licitar comprovacions actives per al seu equip i des del servidor Zabbix especificat. Per exemple:

``ini ServerActive=192.0.2.1 Hostname=MyWindowsHost


2\. Reinicieu el servei d'agent Zabbix per aplicar els canvis:

``bash
net stop "Zabbix Agent" && net start "Zabbix Agent"

3. Comproveu que l'equip de Windows s'és executant:

  • Assegureu-vos que el servei d'agent Zabbix s'està executant a l'equip Windows.
  • Comproveu que l'equip Windows es pot connectar al servidor Zabbix al port 10051. Per provar la connectivitat des de l'equip Windows, obriu PowerShell i executeu la comanda següent:
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051

Configurar la interfície de Zabbix

1. Navegueu a Recull de dades > Equips i crear un equip:

  • Al camp Nom de l'equip, introduïu un nom d'equip (per exemple, "MyWindowsHost").
  • Al camp Grups d'equips, escriviu o trieu un grup d'equips (per exemple, "Vigilància de registre d'esdeveniments").
  • Premeu Afegir per desar l'equip configurat.

Al camp Plantilles podeu afegir la plantilla "Windows by Zabbix agent actiu" per ajudar-vos a solucionar problemes observant si s'actualitzen altres elements actius del mateix equip. ::

![](.. /. /./actius/en/manual/guides/eventlog_host.png){width="600"}

2. Creeu un element nou amb els paràmetres següents:

  • Al camp Nom, introduïu un nom d'element descriptiu (per exemple, "Registre de seguretat: esdeveniments d'inici de sessió fallits").
  • Al menú desplegable Tipus, trieu "Agent Zabbix (actiu)" (necessari per al monitoratge del registre d'esdeveniments).
  • Al camp Clau, utilitzeu la tecla d'element eventlog. Per exemple, per controlar els intents d'inici de sessió fallits (ID d'esdeveniment: 4625) al registre de seguretat i ignorar les entrades més antigues que la darrera comprovació de l'element (utilitzant el paràmetre skip), introduïu la següent clau d'element: eventlog[Seguretat,,,4625,,skip]
  • Al menú desplegable Tipus d'informació, trieu "Registre".

![](.. /. /../actius/en/manual/guides/eventlog_item.png){width="600"}

3. Feu clic a Afegir per desar l'article.

Prova i visualització de les mètriques recollides

Caram, molt bé! Zabbix ja és configurat per recollir els registres d'esdeveniments de Windows. Per verificar que es recullen els registres d'esdeveniments, podeu provar l'element "Registre de seguretat: esdeveniments d'inici de sessió fallits" tancant la sessió del vostre compte de Windows i intentant iniciar la sessió amb credencials incorrectes.

Tot seguit, reviseu els registres recollits al frontend de Zabbix:

  1. Navegueu a Monitoratge> Dades més recents a la interfície de Zabbix.

  1. Filtreu pel vostre equip "MyWindowsHost" al camp Nom.

  2. Feu clic a Historial per veure els valors del registre enregistrats.

4. Si no hi ha valors de registre, aneu a la secció [Resolució de problemes](#resolució de problemes) de la guia.

Configuració de les alertes de problemes

Aquesta guia proporciona les passes de configuració bàsiques per enviar alertes per correu electrònic.

1. Aneu a Recull de dades > Equips per definir un trigger que s'activi quan l'element del registre d'esdeveniments registra el patró que us interessa. Per exemple, per detectar els intents d'inici de sessió fallits al registre de seguretat, utilitzeu la funció find():

find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Error d'inici de sessió")

2. Aneu a Configuració d'usuari > Perfil, canvieu a la pestanya Suports i afegiu el vostre correu electrònic.

3. Seguiu la guia per a Rebre una notificació de problema.

La propera vegada, quan Zabbix detecti un problema, hauríeu de rebre una alerta per correu electrònic.

Resolució de problemes

Si teniu problemes per recopilar o visualitzar registres d'esdeveniments de Windows, feu servir els consells següents per identificar i resoldre problemes comuns:

1. Al servidor Zabbix (Linux), llisteu les vostres regles iptables amb l'ordre següent:

sudo iptables -L -n

i verifiqueu que hi hagi una regla ACCEPT per al port TCP 10051.

2. Assegureu-vos que la vostra clau eventlog[...] utilitzi el nom exacte del registre (distinguent entre majúscules i minúscules), l'ID de l'esdeveniment, el mode (per exemple, ometre) i altres paràmetres exactament com es mostren a les Claus d'element específiques de Windows.

Veieu també: