Мониторинг журнала событий Windows с использованием активных проверок
Введение
Это руководство объясняет, как отслеживать журналы событий Windows с помощью Zabbix, используя активные проверки. С помощью ключей элементов данных Zabbix, специфичных для Windows, вы можете собирать и анализировать критические события (например, неудачные попытки входа в систему, системные ошибки и т. д.) в реальном времени.
Для кого предназначено это руководство
Это руководство предназначено для новых пользователей Zabbix и сетевых администраторов, которые хотят отслеживать журналы событий Windows. Дополнительные параметры настройки см. в документации по ключам элементов данных, специфичным для Windows.
Предварительные требования
Перед тем как продолжить работу с этим руководством, вам необходимо скачать и установить сервер Zabbix и веб-интерфейс Zabbix в соответствии с инструкциями для вашей ОС. Вам также нужно, чтобы агент Zabbix был скачан и установлен на компьютере Windows, который вы хотите отслеживать.
Настройка агента Zabbix для мониторинга журнала событий Windows
1. Откройте zabbix_agentd.conf (путь по умолчанию C:\Program Files\Zabbix Agent\zabbix_agentd.conf) на вашем узле сети Windows и убедитесь, что параметр ServerActive установлен в IP-адрес вашего сервера Zabbix, а параметр Hostname соответствует имени узла сети, которое будет задано в веб-интерфейсе Zabbix. Это позволяет агенту запрашивать активные проверки для своего узла сети у указанного сервера Zabbix. Например:
ServerActive=192.0.2.1
Hostname=MyWindowsHost2. Перезапустите службу агента Zabbix, чтобы применить изменения:
net stop "Zabbix Agent" && net start "Zabbix Agent"3. Проверьте, что узел сети Windows работает:
- Убедитесь, что служба агента Zabbix запущена на узле сети Windows.
- Проверьте, что узел сети Windows может подключиться к серверу Zabbix через порт 10051. Чтобы проверить подключение с узла сети Windows, откройте PowerShell и выполните следующую команду:
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051Настройка веб-интерфейса Zabbix
1. Перейдите в Сбор данных > Узлы сети и создайте узел сети:
- В поле Имя узла сети введите имя узла сети (например, "MyWindowsHost").
- В поле Группы узлов сети введите или выберите группу узлов сети (например, "Event log Monitoring").
- Нажмите Добавить, чтобы сохранить настроенный узел сети.
В поле Шаблоны вы можете добавить шаблон "Windows by Zabbix agent active", чтобы помочь в поиске неисправностей, наблюдая, обновляются ли другие активные элементы данных на том же узле сети.
2. Создайте новый элемент данных со следующими параметрами:
- В поле Имя введите описательное имя элемента данных (например, "Security log: failed logon events").
- В раскрывающемся списке Тип выберите "Zabbix agent (active)" (требуется для мониторинга журнала событий).
- В поле Ключ используйте ключ элемента данных eventlog. Например, чтобы отслеживать неудачные попытки входа в систему (Event ID: 4625) в журнале Security и игнорировать записи, более старые, чем последняя проверка элемента данных (с использованием параметра
skip), введите следующий ключ элемента данных:eventlog[Security,,,,4625,,skip] - В раскрывающемся списке Тип информации выберите "Log".
3. Нажмите Добавить, чтобы сохранить элемент данных.
Проверка и просмотр собранных метрик
Поздравляем! Zabbix теперь настроен на сбор журналов событий Windows. Чтобы убедиться, что журналы событий собираются, вы можете протестировать элемент данных "Security log: failed logon events", выйдя из своей учетной записи Windows и попытавшись войти с неверными учетными данными.
Затем просмотрите собранные журналы в веб-интерфейсе Zabbix:
1. Перейдите в Monitoring > Latest data в веб-интерфейсе Zabbix.
2. Отфильтруйте по узлу сети "MyWindowsHost" в поле Name.
3. Нажмите History, чтобы просмотреть записанные значения журнала.
4. Если значения журнала отсутствуют, перейдите к разделу Troubleshooting руководства.
Настройка оповещений о проблемах
Это руководство содержит основные шаги настройки для отправки оповещений по электронной почте.
1. Перейдите в Data collection > Hosts, чтобы определить триггер, который срабатывает, когда элемент данных журнала событий записывает нужный вам шаблон. Например, чтобы обнаруживать неудачные попытки входа в журнале Security, используйте функцию find():
find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")
2. Перейдите в User settings > Profile, откройте вкладку Media и добавьте свой email.
3. Следуйте руководству по получению уведомления о проблеме.
В следующий раз, когда Zabbix обнаружит проблему, вы должны получить оповещение по электронной почте.
Устранение неполадок
Если у вас возникают проблемы со сбором или просмотром журналов событий Windows, воспользуйтесь приведенными ниже советами, чтобы выявить и устранить распространенные проблемы:
1. На сервере Zabbix (Linux) выполните следующую команду, чтобы вывести правила iptables:
sudo iptables -L -nи убедитесь, что для TCP-порта 10051 есть правило ACCEPT.
2. Убедитесь, что в ключе eventlog[...] используется точное имя журнала (с учетом регистра), идентификатор события, режим (например, skip) и другие параметры в точности так, как показано в ключах элементов данных, специфичных для Windows.
См. также:
- Создание элемента данных - узнайте, как добавлять дополнительные метрики.
- Агент Zabbix в Microsoft Windows - подробные инструкции по установке.
- Мониторинг Windows с помощью агента Zabbix - подробное руководство по настройке базового мониторинга компьютеров Windows с использованием агента Zabbix.
- Ключи элементов данных, специфичные для Windows - подробная информация о ключах элементов данных, специфичных для Windows, поддерживаемых агентами Zabbix, включая ключи для мониторинга журналов событий.
- Мониторинг файлов журналов - инструкции по настройке Zabbix для централизованного мониторинга и анализа файлов журналов, применимые к журналам событий Windows.