Мониторинг журнала событий Windows с использованием активных проверок

Введение

Это руководство объясняет, как отслеживать журналы событий Windows с помощью Zabbix, используя активные проверки. С помощью ключей элементов данных Zabbix, специфичных для Windows, вы можете собирать и анализировать критические события (например, неудачные попытки входа в систему, системные ошибки и т. д.) в реальном времени.

Для кого предназначено это руководство

Это руководство предназначено для новых пользователей Zabbix и сетевых администраторов, которые хотят отслеживать журналы событий Windows. Дополнительные параметры настройки смотрите в документации по ключам элементов данных, специфичным для Windows.

Предварительные требования

Перед тем как продолжить работу с этим руководством, вам необходимо скачать и установить Zabbix сервер и веб-интерфейс Zabbix в соответствии с инструкциями для вашей ОС. Вам также нужно, чтобы агент Zabbix был скачан и установлен на компьютере Windows, который вы хотите отслеживать.

Настройка Zabbix агента для мониторинга журнала событий Windows

1. Откройте zabbix_agentd.conf (путь по умолчанию C:\Program Files\Zabbix Agent\zabbix_agentd.conf) на вашем узле сети Windows и убедитесь, что в параметре ServerActive указан IP-адрес вашего сервера Zabbix, а параметр Hostname совпадает с именем узла сети, которое будет задано в веб-интерфейсе Zabbix. Это позволяет агенту запрашивать активные проверки для своего узла сети у указанного Zabbix сервера. Например:

ServerActive=192.0.2.1
Hostname=MyWindowsHost

2. Перезапустите службу агента Zabbix, чтобы применить изменения:

net stop "Zabbix Agent" && net start "Zabbix Agent"

3. Проверьте, что узел сети Windows работает:

• Убедитесь, что служба Zabbix агента запущена на узле сети Windows.
• Проверьте, что узел сети Windows может подключиться к серверу Zabbix на порт 10051. Чтобы проверить подключение с узла сети Windows, откройте PowerShell и выполните следующую команду:

Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051

Настройка веб-интерфейса Zabbix

1. Перейдите в Сбор данных > Узлы сети (Data collection > Hosts) и создайте узел сети:

• В поле Имя узла сети (Host name) введите имя узла сети (например, «MyWindowsHost»).
• В поле Группы узлов сети (Host groups) введите или выберите группу узлов сети (например, «Event log Monitoring»).
• Нажмите Добавить (Add), чтобы сохранить настроенный узел сети.

2. Создайте новый элемент данных со следующими параметрами:

• В поле Имя (Name) введите описательное имя элемента данных (например, «Security log: failed logon events»).
• В раскрывающемся списке Тип (Type) выберите «Zabbix agent (active)» (требуется для мониторинга журнала событий).
• В поле Ключ (Key) используйте ключ элемента данных eventlog. Например, чтобы отслеживать неудачные попытки входа в систему (Event ID: 4625) в журнале Security и игнорировать записи, более старые, чем последняя проверка элемента данных (с использованием параметра skip), введите следующий ключ элемента данных: eventlog[Security,,,,4625,,skip]
• В раскрывающемся списке Тип информации (Type of information) выберите «Журнал (лог) (Log)».

3. Нажмите Добавить (Add), чтобы сохранить элемент данных.

Проверка и просмотр собранных метрик

Поздравляем! Zabbix теперь настроен на сбор журналов событий Windows. Чтобы убедиться, что журналы событий собираются, вы можете протестировать элемент данных «Security log: failed logon events», выйдя из своей учётной записи Windows и попытавшись войти с неверными учётными данными.

Затем просмотрите собранные журналы в веб-интерфейсе Zabbix:

1. Перейдите в Мониторинг -> Последние данные (Monitoring -> Latest data) в веб-интерфейсе Zabbix.

2. Отфильтруйте по узлу сети «MyWindowsHost» в поле Имя (Name).

3. Нажмите История (History), чтобы просмотреть записанные значения журнала.

4. Если значения журнала отсутствуют, перейдите к разделу Устранение неполадок руководства.

Настройка уведомлений о проблемах

Это руководство содержит основные шаги настройки для отправки уведомлений по электронной почте.

1. Перейдите в Сбор данных -> Узлы сети (Data collection -> Hosts), чтобы определить триггер, который срабатывает, когда элемент данных журнала событий записывает нужный вам образец. Например, для обнаружения неудачных попыток входа в журнале Security используйте функцию find():

find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")

2. Перейдите в Настройки пользователя -> Профиль (User settings -> Profile), откройте вкладку Оповещения (Media) и добавьте свой email.

3. Следуйте руководству по получению оповещений о проблеме.

В следующий раз, когда Zabbix обнаружит проблему, вы должны получить оповещение по электронной почте.

Устранение неполадок

Если у вас возникают проблемы со сбором или просмотром журналов событий Windows, воспользуйтесь приведенными ниже советами, чтобы выявить и устранить распространённые проблемы:

1. На сервере Zabbix (Linux) выполните следующую команду, чтобы вывести правила iptables:

sudo iptables -L -n

и убедитесь, что для TCP-порта 10051 есть правило ACCEPT.

2. Убедитесь, что в ключе eventlog[...] используется точное имя журнала (с учётом регистра), идентификатор события, режим (например, skip) и другие параметры в точности так, как показано в ключах элементов данных, специфичных для Windows.

Смотрите также:

• Создание элемента данных — узнайте, как добавлять дополнительные метрики.
• Zabbix Агент в Microsoft Windows — подробные инструкции по установке.
• Мониторинг Windows с помощью агента Zabbix — подробное руководство по настройке базового мониторинга компьютеров Windows с использованием Zabbix агента.
• Ключи элементов данных, специфичные для Windows — подробная информация о ключах элементов данных, специфичных для Windows, поддерживаемых агентами Zabbix, включая ключи для мониторинга журналов событий.
• Мониторинг файлов журналов — инструкции по настройке Zabbix для централизованного мониторинга и анализа файлов журналов, применимые к журналам событий Windows.