11 Пратите дневник догађаја у систему Windows помоћу активних провера

Увод

Овај водич објашњава како пратити дневнике догађаја у систему Windows помоћу Zabbix-а користећи активне провере. Са Zabbix кључевима специфичним за Windows, можете прикупљати и анализирати критичне догађаје (као што су неуспели покушаји пријављивања, системске грешке итд.) у реалном времену.

За кога је овај водич

Овај водич је намењен новим Zabbix корисницима и мрежним администраторима који желе да прате дневнике догађаја у систему Windows. За напредне опције конфигурације, погледајте документацију кључеви специфични за Windows.

Предуслови

Пре него што наставите са овим водичем, потребно је да преузмете и инсталирате Zabbix сервер и Zabbix кориснички интерфејс према упутствима за ваш оперативни систем. Такође вам је потребан Zabbix агент преузет и инсталиран на Windows машини коју желите да пратите.

Конфигуришите Zabbix агента за праћење дневника догађаја у Windows-у

1. Отворите zabbix_agentd.conf (подразумевана путања C:\Program Files\Zabbix Agent\zabbix_agentd.conf) на вашем Windows домаћину и уверите се да је параметар ServerActive подешен на IP адресу вашег Zabbix сервера, а параметар Hostname се подудара са именом домаћина које ће бити дефинисано у Zabbix frontend. Ово омогућава агенту да захтева активне провере за свог домаћина и са наведеног Zabbix сервера. На пример:

ServerActive=192.0.2.0
Hostname=MyWindowsHost

2. Поново покрените Zabbix агент сервис да бисте применили промене:

net stop "Zabbix Agent" && net start "Zabbix Agent"

3. Проверите да ли Windows домаћин ради:

• Уверите се да Zabbix агент сервис ради на Windows домаћину.
• Проверите да ли Windows домаћин може да се повеже са Zabbix сервером на порту 10051. Да бисте тестирали повезивање са Windows домаћина, отворите PowerShell и покрените следећу команду:

Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051

Конфигуришите Zabbix фронтенд

1. Идите на Прикупљање података > Домаћини и креирајте домаћина:

• У поље Име домаћина унесите име домаћина (нпр. "MyWindowsHost").
• У поље Групе домаћина унесите или изаберите групу домаћина (нпр. "Event log Monitoring").
• Притисните Додај да бисте сачували конфигурисани домаћин.

2. Направите нову ставку са следећим параметрима:

• У поље Назив унесите описни назив ставке (e.g., "Security log: failed logon events").
• У падајућем менију Тип изаберите "Zabbix agent (active)" (потребно за праћење дневника догађаја).
• У пољу Кључ користите кључ ставке eventlog. На пример, да бисте пратили неуспеле покушаје пријављивања (ID догађаја: 4625) у безбедносном дневнику и игнорисали уносе старије од последње провере ставке (користећи параметар skip), унесите следећи кључ ставке: eventlog[Security,,,,4625,,skip]
• У падајућем менију Тип информација изаберите "Log".

3. Кликните на Додај да бисте сачували ставку.

Тестирање и преглед прикупљених метрика

Честитамо! Zabbix је сада подешен да прикупља ваше Windows евиденције догађаја. Да бисте проверили да ли се евиденције догађаја прикупљају, можете тестирати ставку "Безбедносна евиденција: неуспешни догађаји пријављивања" тако што ћете се одјавити са свог Windows налога и покушати да се пријавите користећи погрешне акредитиве.

Затим, прегледајте прикупљене евиденције у Zabbix кориснички интерфејс:

1. Идите на Праћење > Најновији подаци у Zabbix кориснички интерфејс.

2. Филтрирајте по вашем "MyWindowsHost" домаћину у пољу Име.

3. Кликните на Историја да бисте видели забележене вредности евиденције.

4. Ако вредности дневника недостају, пређите на одељак Решавање проблема у водичу.

Подешавање упозорења о проблемима

Овај водич пружа основне кораке за конфигурацију слања упозорења путем е-поште.

1. Идите на Прикупљање података > Домаћини да бисте дефинисали окидач који се активира када ваша ставка дневника догађаја забележи образац који вас занима. На пример, да бисте ухватили неуспеле покушаје пријављивања у дневнику безбедности, користите функцију find():

   find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Пријављивање није успело")

2. Идите на Подешавања корисника > Профил, пређите на картицу Медији и додајте своју е-пошту.

3. Пратите водич за Примање обавештења о проблему.

Следећи пут, када Zabbix открије проблем, требало би да добијете обавештење путем е-поште.

Решавање проблема

Ако наиђете на проблеме са прикупљањем или прегледом дневника догађаја система Windows, користите савете у наставку да бисте идентификовали и решили уобичајене проблеме:

1. На Zabbix серверу (Linux) наведите своја iptables правила помоћу следеће команде:

sudo iptables -L -n

и проверите да ли постоји ACCEPT правило за TCP порт 10051.

2. Уверите се да ваш кључ eventlog[...] користи тачно име дневника (разликује велика и мала слова), ID догађаја, режим (нпр., skip) и друге параметре тачно онако како је приказано у Кључеви ставки специфични за Windows.

Погледајте такође:

• Креирање ставке - сазнајте како да додате додатне метрике.
• Zabbix агент на Microsoft Windows-у - детаљна упутства за инсталацију.
• Праћење Windows-а помоћу Zabbix агента - свеобухватан водич за подешавање основног праћења за Windows машине помоћу Zabbix агента.
• Кључеви ставки специфични за Windows - детаљне информације о кључевима ставки специфичним за Windows које подржавају Zabbix агенти, укључујући оне за праћење дневника догађаја.
• Праћење датотека дневника - упутства за конфигурисање Zabbix-а за централизовано праћење и анализу датотека дневника, применљиво на дневнике догађаја Windows-а.