本指南解释了如何使用主动检查通过 Zabbix 监控 Windows 事件日志。借助 Zabbix 提供的 Windows 特定 监控项 键,您可以实时收集和分析关键事件(例如登录失败尝试、系统错误等)。
本指南适用对象
本指南面向希望监控 Windows 事件日志的新 Zabbix 用户和网络管理员。有关高级配置选项,请参考 windows特定的监控项 文档。
前提条件
在开始本指南之前,您需要根据您的操作系统说明安装 download and install Zabbix server 和 Zabbix 前端。此外,您还需要在要监控的 Windows 主机上安装 Zabbix agent downloaded and installed。
1。打开Windows 主机上的zabbix_agentd.conf
文件(默认路径为C:\Program Files\Zabbix Agent\zabbix_agentd.conf
),确保serveractive参数设置为您的Zabbix server的IP地址,且主机名参数与Zabbix前端中定义的主机名称匹配。这将使agent能够为其主机请求主动检查,并从指定的Zabbix server获取数据。例如:
2。重启Zabbix agent服务以应用更改:
3。检查Windows 主机是否正常运行:
1。导航至 数据收集 > 主机 并执行 create a host:
在 模板 字段中,您可以添加 "Windows by Zabbix agent active" 模板,以通过观察同一 主机 上的其他活动 监控项 是否正在更新来帮助您进行故障排查。
2。创建一个具有以下参数的新 监控项:
skip
参数),请输入以下 监控项 键值:eventlog[Security,,,,4625,,skip]
3。点击 添加 以保存该 监控项。
恭喜!Zabbix 现在已配置为收集您的 Windows 事件日志。 要验证事件日志是否正在被收集,您可以通过注销 Windows 账户并尝试使用错误的凭据登录来测试“安全日志:登录失败事件”监控项。
然后,在 Zabbix 前端查看收集到的日志:
1. 在 Zabbix 前端中,导航到 Monitoring > Latest data。
2. 在 Name 字段中,通过您的 "MyWindowsHost" 主机 进行过滤。
3. 点击 History 查看记录的日志值。
4. 如果日志值缺失,请前往指南的 Troubleshooting 部分。
本指南提供了发送电子邮件告警的基本配置步骤。
1。导航至 数据采集 > 主机,以创建在您的事件日志监控项记录到您关注的模式时触发的添加触发器。例如,要捕获安全日志中的登录失败尝试,请使用find()函数:
查找(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")
2。导航至 User settings > Profile,切换到 媒介 标签页,然后选择 添加用户。
3。请按照Receiving a problem notification中的指南操作。
下次当 Zabbix 检测到问题时,您应该会通过电子邮件收到警报。
若您在收集或查看Windows事件日志时遇到问题,请参考以下提示来排查和解决常见问题:
1. 在Zabbix server(Linux系统)上,使用以下命令列出iptables规则:
并确认存在针对TCP端口10051的ACCEPT规则。
2. 确保您的eventlog[...]
键值使用完全匹配的日志名称(区分大小写)、事件ID、模式(如skip)等参数,具体请参照windows特定的监控项中的说明。
参见: