2 Agent Zabbix Windows

Aperçu

Les éléments de l'agent Zabbix Windows sont présentés dans deux listes :

• Éléments partagés - les clés d'élément qui sont partagées avec l'agent Zabbix UNIX ;
• Éléments spécifiques à Windows - les clés d'élément qui sont prises en charge uniquement sous Windows.

Notez que toutes les clés d'élément prises en charge par l'agent Zabbix sous Windows sont également prises en charge par l'agent Zabbix 2 de nouvelle génération. Consultez les clés d'élément supplémentaires que vous pouvez utiliser uniquement avec l'agent 2.

Voir aussi : Autorisations minimales pour les éléments Windows

Éléments partagés

Le tableau ci-dessous répertorie les éléments de l'agent Zabbix pris en charge sous Windows et partagés avec l'agent Zabbix UNIX :

• La clé d'élément est un lien vers les détails complets de l'élément de l'agent Zabbix UNIX
• Les commentaires d'élément pertinents pour Windows sont inclus

Éléments spécifiques à Windows

Le tableau fournit des détails sur les clés d’élément prises en charge uniquement par l’agent Zabbix Windows.

Les éléments spécifiques à Windows sont parfois une contrepartie approximative d’un élément d’agent similaire ; par exemple, proc_info, pris en charge sous Windows, correspond approximativement à l’élément proc.mem, qui n’est pas pris en charge sous Windows.

La clé d’élément est un lien vers les détails complets de la clé d’élément.

Détails de la clé d’élément

Les paramètres sans crochets angulaires sont obligatoires. Les paramètres marqués par des crochets angulaires < > sont facultatifs.

eventlog[name,<regexp>,<severity>,<source>,<eventid>,<maxlines>,<mode>]

La surveillance du journal des événements.
Valeur de retour: Log.

Paramètres:

• name - le nom du canal du journal des événements (Log Name dans l'interface Event Viewer);
  
• regexp - une expression régulière décrivant le motif requis (sensible à la casse);
  
• severity - une expression régulière décrivant la gravité (insensible à la casse). Ce paramètre accepte une expression régulière basée sur les valeurs suivantes: "Information", "Warning", "Error", "Critical", "Verbose" (sous Windows Vista ou version ultérieure).
  
• source - une expression régulière décrivant l'identifiant de la source (insensible à la casse);
  
• eventid - une expression régulière décrivant l'identifiant ou les identifiants d'événement (sensible à la casse);
  
• maxlines - le nombre maximal de nouvelles lignes par seconde que l'agent enverra au serveur Zabbix ou au proxy. Ce paramètre remplace la valeur de MaxLinesPerSecond dans zabbix_agentd.conf.
  
• mode - valeurs possibles:
  • all (par défaut);
  • skip - ignorer le traitement des données plus anciennes (n'affecte que les éléments nouvellement créés).

Commentaires:

• L'élément doit être configuré comme une vérification active;
• L'agent ne peut pas envoyer d'événements depuis le journal "Forwarded events";
• Windows Eventing 6.0 est pris en charge;
• Le choix d'un type d'information autre que Log pour cet élément entraînera la perte de l'horodatage local, ainsi que des informations de gravité et de source du journal;
• Voir aussi des informations supplémentaires sur la surveillance des journaux.

Exemples:

eventlog[Application]
eventlog[Microsoft-Windows-Application-Experience/Program-Compatibility-Assistant]
eventlog[Security,,"Failure Audit",,^(529|680)$]
eventlog[System,,"Warning|Error"]
eventlog[System,,,,^1$]
eventlog[Windows PowerShell,,,,,,skip]
eventlog[System,,,,@TWOSHORT] #here a custom regular expression named `TWOSHORT` is referenced (defined as a *Result is TRUE* type, the expression itself being `^1$|^70$`).

eventlog.count[name,<regexp>,<severity>,<source>,<eventid>,<maxproclines>,<mode>]

Le nombre de lignes dans le journal des événements Windows.
Valeur de retour: Integer.

Paramètres:

• name - le nom du canal du journal des événements (Log Name dans l'interface Event Viewer);
  
• regexp - une expression régulière décrivant le motif requis (sensible à la casse);
  
• severity - une expression régulière décrivant la gravité (insensible à la casse). Ce paramètre accepte une expression régulière basée sur les valeurs suivantes: "Information", "Warning", "Error", "Critical", "Verbose" (sous Windows Vista ou version ultérieure).
  
• source - une expression régulière décrivant l'identifiant de la source (insensible à la casse);
  
• eventid - une expression régulière décrivant le ou les identifiants d'événement (sensible à la casse);
  
• maxproclines - le nombre maximal de nouvelles lignes par seconde que l'agent analysera (ne peut pas dépasser 10000). La valeur par défaut est 10*'MaxLinesPerSecond' dans zabbix_agentd.conf.
  
• mode - valeurs possibles:
  • all (par défaut);
  • skip - ignorer le traitement des données plus anciennes (n'affecte que les éléments nouvellement créés).

Commentaires:

• L'élément doit être configuré comme une vérification active;
• L'agent ne peut pas envoyer d'événements depuis le journal "Forwarded events";
• Windows Eventing 6.0 est pris en charge;
• La sélection d'un type d'information autre que Log pour cet élément entraînera la perte de l'horodatage local, ainsi que des informations de gravité et de source du journal;
• Voir aussi des informations supplémentaires sur la surveillance des journaux.

Exemples:

eventlog.count[System,,"Warning|Error"]
eventlog.count[Windows PowerShell,,,,,,skip]

net.if.list

La liste des interfaces réseau (inclut le type d’interface, le statut, l’adresse IPv4, la description).
Valeur de retour : Texte.

Commentaires :

• Les noms d’interface multi-octets sont pris en charge ;
• Les interfaces désactivées ne sont pas répertoriées ;
• L’activation/la désactivation de certains composants peut modifier leur ordre dans le nom d’interface Windows ;
• Certaines versions de Windows (par exemple, Server 2008) peuvent nécessiter l’installation des dernières mises à jour pour prendre en charge les caractères non ASCII dans les noms d’interface.

perf_counter[counter,<interval>]

La valeur de n'importe quel compteur de performance Windows.
Valeur de retour: Integer, float, string ou text (selon la requête).

Paramètres:

• counter - le chemin vers le compteur;
  
• interval - les N dernières secondes pour le stockage de la valeur moyenne. Le interval doit être compris entre 1 et 900 secondes (inclus) et la valeur par défaut est 1.

Commentaires:

• Cet élément suit les chemins UNC, ce qui peut représenter un risque de sécurité;
• interval est utilisé pour les compteurs qui nécessitent plus d'un échantillon (comme l'utilisation du CPU), de sorte que la vérification renvoie à chaque fois une valeur moyenne pour les dernières secondes "interval";
• Performance Monitor peut être utilisé pour obtenir la liste des compteurs disponibles.
• Voir aussi: Compteurs de performance Windows.

perf_counter_en[counter,<interval>]

La valeur de n'importe quel compteur de performance Windows en anglais.
Valeur de retour: Integer, float, string ou text (selon la requête).

Paramètres:

• counter - le chemin vers le compteur en anglais;
  
• interval - les N dernières secondes pour le stockage de la valeur moyenne. Le interval doit être compris entre 1 et 900 secondes (inclus) et la valeur par défaut est 1.

Commentaires:

• Cet élément suit les chemins UNC, ce qui peut représenter un risque de sécurité;
• interval est utilisé pour les compteurs qui nécessitent plus d'un échantillon (comme l'utilisation du CPU), de sorte que la vérification renvoie à chaque fois une valeur moyenne pour les dernières secondes "interval";
• Cet élément est pris en charge uniquement sur Windows Server 2008/Vista et versions ultérieures;
• Vous pouvez trouver la liste des chaînes en anglais en affichant la clé de registre suivante: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\009.

perf_instance.discovery[object]

La liste des instances d’objet des compteurs de performance Windows. Utilisée pour la découverte de bas niveau.
Valeur de retour : objet JSON.

Paramètre :

• object - le nom de l’objet (localisé).

perf_instance_en.discovery[object]

La liste des instances d’objet des compteurs de performance Windows, découvertes à l’aide des noms d’objet en anglais. Utilisé pour la découverte de bas niveau.
Valeur de retour : objet JSON.

Paramètre :

• object - le nom de l’objet (en anglais).

proc_info[process,<attribute>,<type>]

Diverses informations sur un ou plusieurs processus spécifiques.
Valeur de retour: Float.

Paramètres:

• process - le nom du processus;
  
• attribute - l'attribut du processus demandé;
  
• type - le type de représentation (pertinent lorsqu'il existe plus d'un processus portant le même nom)

Commentaires:

• Les attributes suivants sont pris en charge:
  • vmsize - taille de la mémoire virtuelle du processus en Kbytes (par défaut);
  • wkset - taille du working set du processus (quantité de mémoire physique utilisée par le processus) en Kbytes;
  • pf - nombre de défauts de page;
  • ktime - temps noyau du processus en millisecondes;
  • utime - temps utilisateur du processus en millisecondes;
  • io_read_b - nombre d'octets lus par le processus lors des opérations d'E/S;
  • io_read_op - nombre d'opérations de lecture effectuées par le processus;
  • io_write_b - nombre d'octets écrits par le processus lors des opérations d'E/S;
  • io_write_op - nombre d'opérations d'écriture effectuées par le processus;
  • io_other_b - nombre d'octets transférés par le processus lors d'opérations autres que les opérations de lecture et d'écriture;
  • io_other_op - nombre d'opérations d'E/S effectuées par le processus, autres que les opérations de lecture et d'écriture;
  • gdiobj - nombre d'objets GDI utilisés par le processus;
  • userobj - nombre d'objets USER utilisés par le processus.
• Les types valides sont:
  • avg - valeur moyenne pour tous les processus nommés <process> (par défaut);
  • min - valeur minimale parmi tous les processus nommés <process>;
  • max - valeur maximale parmi tous les processus nommés <process>;
  • sum - somme des valeurs pour tous les processus nommés <process>.
• Sur un système 64 bits, un agent Zabbix 64 bits est requis pour que cet élément fonctionne correctement.
  

Exemples:

proc_info[iexplore.exe,wkset,sum] #retrieve the amount of physical memory taken by all Internet Explorer processes
proc_info[iexplore.exe,pf,avg] #retrieve the average number of page faults for Internet Explorer processes

registry.data[key,<value name>]

Renvoie les données pour le nom de valeur spécifié dans la clé du Registre Windows.
Valeur de retour: Integer, string ou text (selon le type de valeur)

Paramètres:

• key - la clé de registre, y compris la clé racine; les abréviations de clé racine (par ex. HKLM) sont autorisées;
• value name - le nom de la valeur de registre dans la clé (chaîne vide "" par défaut). La valeur par défaut est renvoyée si le nom de valeur n'est pas fourni.

Commentaires:

• Abréviations de clé racine prises en charge:
  • HKCR - HKEY_CLASSES_ROOT
  • HKCC - HKEY_CURRENT_CONFIG
  • HKCU - HKEY_CURRENT_USER
  • HKCULS - HKEY_CURRENT_USER_LOCAL_SETTINGS
  • HKLM - HKEY_LOCAL_MACHINE
  • HKPD - HKEY_PERFORMANCE_DATA
  • HKPN - HKEY_PERFORMANCE_NLSTEXT
  • HKPT - HKEY_PERFORMANCE_TEXT
  • HKU - HKEY_USERS
• Les clés contenant des espaces doivent être placées entre guillemets doubles.

Exemples:

registry.data["HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting"] #renvoie les données de la valeur par défaut de cette clé
registry.data["HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting","EnableZip"] #renvoie les données de la valeur nommée "Enable Zip" dans cette clé

registry.get[key,<mode>,<name regexp>]

La liste des valeurs ou des clés du Registre Windows situées à la clé donnée.
Valeur de retour: objet JSON.

Paramètres:

• key - la clé du Registre, y compris la clé racine; les abréviations de clé racine (par ex. HKLM) sont autorisées (voir les commentaires de registry.data[] pour la liste complète des abréviations);
  
• mode - valeurs possibles:
  values (par défaut) ou keys;
  
• name regexp - découvre uniquement les valeurs dont les noms correspondent à l'expression régulière (par défaut - découvre toutes les valeurs). Autorisé uniquement avec values comme mode.

Les clés contenant des espaces doivent être placées entre guillemets doubles.

Exemples:

registry.get[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,values,"^DisplayName|DisplayVersion$"] #retourne les données des valeurs nommées "DisplayName" ou "DisplayValue" dans cette clé.
Le JSON inclura les détails de la clé, de la dernière sous-clé, du nom de la valeur, du type de valeur et des données de la valeur.
registry.get[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,values] #retourne les données de toutes les valeurs de cette clé.
Le JSON inclura les détails de la clé, de la dernière sous-clé, du nom de la valeur, du type de valeur et des données de la valeur.
registry.get[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,keys] #retourne toutes les sous-clés de cette clé.
Le JSON inclura les détails de la clé et de la dernière sous-clé.

service.discovery

La liste des services Windows. Utilisé pour la découverte de bas niveau.
Valeur de retour : objet JSON.

service.info[service,<param>]

Informations sur un service.
Valeur de retour :

• Integer - avec param comme state, startup;
  Plus précisément pour state :
  • 0 - en cours d'exécution
  • 1 - en pause
  • 2 - démarrage en attente
  • 3 - pause en attente
  • 4 - reprise en attente
  • 5 - arrêt en attente
  • 6 - arrêté
  • 7 - inconnu
  • 255 - aucun service de ce type
    Plus précisément pour startup :
  • 0 - automatique
  • 1 - automatique différé
  • 2 - manuel
  • 3 - désactivé
  • 4 - inconnu
  • 5 - démarrage automatique par déclencheur
  • 6 - démarrage automatique différé par déclencheur
  • 7 - démarrage manuel par déclencheur
• String - avec param comme displayname, path, user;
• Text - avec param comme description.

Paramètres :

• service - un nom de service réel ou son nom d'affichage tel qu'il apparaît dans le composant logiciel enfichable Services de la MMC ;
• param - state (par défaut), displayname, path, user, startup ou description.

Commentaires :

• Les éléments tels que service.info[service,state] et service.info[service] renverront la même information ;
• Uniquement avec param comme state, cet élément renvoie une valeur pour les services inexistants (255).

Exemples :

service.info[SNMPTRAP] - état du service SNMPTRAP ;
service.info[SNMP Trap] - état du même service, mais avec le nom d'affichage spécifié ;
service.info[EventLog,startup] - type de démarrage du service EventLog

services[<type>,<state>,<exclude>]

La liste des services.
Valeur de retour : 0 - si vide ; Texte - la liste des services séparés par un saut de ligne.

Paramètres :

• type - all (par défaut), automatic, manual ou disabled ;
• state - all (par défaut), stopped, started, start_pending, stop_pending, running, continue_pending, pause_pending ou paused ;
• exclude - les services à exclure du résultat. Les services exclus doivent être indiqués entre guillemets doubles, séparés par des virgules, sans espaces.

Exemples :

services[,started] #renvoie la liste des services démarrés ;
services[automatic, stopped] #renvoie la liste des services arrêtés qui devraient être en cours d’exécution ;
services[automatic, stopped, "service1,service2,service3"] #renvoie la liste des services arrêtés qui devraient être en cours d’exécution, en excluant les services nommés "service1", "service2" et "service3"

vm.vmemory.size[<type>]

La taille de la mémoire virtuelle en octets ou en pourcentage du total.
Valeur de retour : Integer - pour les octets ; float - pour le pourcentage.

Paramètre :

• type - valeurs possibles : available (mémoire virtuelle disponible), pavailable (mémoire virtuelle disponible, en pourcentage), pused (mémoire virtuelle utilisée, en pourcentage), total (mémoire virtuelle totale, par défaut) ou used (mémoire virtuelle utilisée)

Commentaires :

• La surveillance des statistiques de mémoire virtuelle est basée sur :
  
  • La mémoire virtuelle totale sous Windows (mémoire physique totale + taille du fichier d’échange) ;
    
  • La quantité maximale de mémoire que l'agent Zabbix peut valider ;
    
  • La limite actuelle de mémoire validée pour le système ou l'agent Zabbix, selon la plus petite des deux.

Exemple :

vm.vmemory.size[pavailable] #retourne la mémoire virtuelle disponible, en pourcentage

wmi.get[<namespace>,<query>]

Exécute une requête WMI et renvoie le premier objet sélectionné.
Valeur de retour : Integer, float, string ou text (selon la requête).

Paramètres :

• namespace - l’espace de noms WMI ;
  
• query - la requête WMI renvoyant un seul objet.

Les requêtes WMI sont effectuées avec WQL.

Exemple :

wmi.get[root\cimv2,select status from Win32_DiskDrive where Name like '%PHYSICALDRIVE0%'] #renvoie le statut du premier disque physique

wmi.getall[<namespace>,<query>]

Exécute une requête WMI et renvoie la réponse complète. Peut être utilisé pour la découverte de bas niveau.
Valeur de retour : objet JSON

Paramètres :

• namespace - l’espace de noms WMI ;
  
• query - la requête WMI.

Commentaires :

• Les requêtes WMI sont effectuées avec WQL.
• Le prétraitement JSONPath peut être utilisé pour cibler des valeurs plus spécifiques dans le JSON renvoyé.

Exemple :

wmi.getall[root\cimv2,select * from Win32_DiskDrive where Name like '%PHYSICALDRIVE%'] #renvoie des informations d'état sur les disques physiques

Surveillance des services Windows

Ce tutoriel fournit des instructions étape par étape pour configurer la surveillance des services Windows. Il est supposé que le serveur Zabbix et l’agent sont configurés et opérationnels.

Étape 1

Obtenez le nom du service.

Vous pouvez obtenir le nom du service en ouvrant le composant logiciel enfichable Services de la MMC et en affichant les propriétés du service. Dans l'onglet General, vous devriez voir un champ appelé Service name. La valeur qui suit est le nom que vous utiliserez lors de la configuration d'un élément à surveiller. Par exemple, si vous souhaitiez surveiller le service "workstation", votre service pourrait être : lanmanworkstation.

Étape 2

Configurez un élément pour surveiller le service.

L’élément service.info[service,<param>] récupère des informations sur un service particulier. Selon les informations dont vous avez besoin, spécifiez l’option param, qui accepte les valeurs suivantes : displayname, state, path, user, startup ou description. La valeur par défaut est state si param n’est pas spécifié (service.info[service]).

Le type de valeur renvoyée dépend du param choisi : entier pour state et startup ; chaîne de caractères pour displayname, path et user ; texte pour description.

Exemple :

• Clé : service.info[lanmanworkstation]
• Type d’information : Numérique (non signé)

L’élément service.info[lanmanworkstation] récupérera des informations sur l’état du service sous forme de valeur numérique. Pour associer une valeur numérique à une représentation textuelle dans l’interface web (« 0 » comme « En cours d’exécution », « 1 » comme « En pause », etc.), vous pouvez configurer un mapping de valeurs sur l’hôte sur lequel l’élément est configuré. Pour ce faire, liez soit le modèle Windows services by Zabbix agent ou Windows services by Zabbix agent active à l’hôte, soit configurez sur l’hôte un nouveau mapping de valeurs basé sur le mapping de valeurs Windows service state configuré sur les modèles mentionnés.

Notez que les deux modèles mentionnés disposent d’une règle de découverte configurée qui découvrira automatiquement les services. Si vous ne le souhaitez pas, vous pouvez désactiver la règle de découverte au niveau de l’hôte une fois le modèle lié à l’hôte.

Découverte des services Windows

La découverte de bas niveau permet de créer automatiquement des éléments, des déclencheurs et des graphiques pour différentes entités sur un ordinateur. Zabbix peut commencer automatiquement à surveiller les services Windows sur votre machine, sans qu’il soit nécessaire de connaître le nom exact d’un service ni de créer manuellement des éléments pour chaque service. Un filtre peut être utilisé pour générer des éléments, des déclencheurs et des graphiques réels uniquement pour les services pertinents.