11 使用主动检查监控 Windows 事件日志

在这一节中，我们将介绍如何配置 Zabbix 以使用主动检查来监控 Windows 事件日志。通过主动检查，Zabbix agent 将事件日志信息发送到 Zabbix server，而不是由 Zabbix server 被动地轮询 agent。这种方法可以提高监控效率，尤其是在网络延迟或带宽受限的情况下。

要实现这一功能，您需要在 Windows 主机上安装 Zabbix agent，并确保它配置为能够读取事件日志。接下来，您需要在 Zabbix server 上创建监控项，这些监控项将使用主动检查方法从 Windows 主机收集事件日志数据。

以下是配置步骤的概览：

1. 在 Windows 主机上安装 Zabbix agent：确保 agent 版本与您的 Zabbix server 兼容，并正确配置 agent 以允许其访问事件日志。

2. 配置 Zabbix agent：编辑 Zabbix agent 的配置文件，通常为 zabbix_agentd.conf，并添加或修改以下行以启用主动检查：

   ServerActive=Zabbix server IP or hostname
          ServerActivePort=10051

   请将 Zabbix server IP or hostname 替换为您的 Zabbix server 的实际 IP 地址或主机名。

3. 创建监控项：在 Zabbix server 上，为 Windows 主机创建监控项，使用主动检查方法。例如，您可以使用以下键值：

   system.log[]$<filter>$<sort>$<limit>

   这里，<filter>、<sort> 和 <limit> 是可选参数，用于过滤、排序和限制返回的事件日志条目。

4. 配置更新间隔：设置监控项的更新间隔，以确定 Zabbix agent 向 Zabbix server 发送事件日志数据的频率。

5. 验证配置：完成配置后，通过检查 Zabbix server 的监控数据来验证是否成功接收到来自 Windows 主机的事件日志信息。

通过遵循上述步骤，您可以有效地使用主动检查来监控 Windows 事件日志，从而提高监控效率并减少网络负载。

引言

本指南将指导您如何使用主动检查与Zabbix监控Windows事件日志。通过Zabbix特定于Windows的监控项键，您可以实时收集和分析关键事件（如失败的登录尝试、系统错误等）。

本指南面向的读者

本指南专为Zabbix的新用户和希望监控Windows事件日志的网络管理员设计。对于高级配置选项，请参阅Windows-specific item keys文档。

先决条件

在继续本指南之前，您需要根据您的操作系统指令download and install安装Zabbix server和Zabbix前端。此外，您还需要在想要监控的Windows机器上Zabbix agent downloaded and installed。

配置 Zabbix agent 以监控 Windows 事件日志

1. 在您的 Windows 主机上打开 zabbix_agentd.conf（默认路径 C:\Program Files\Zabbix Agent\zabbix_agentd.conf），并确保 ServerActive 参数设置为您的 Zabbix 服务器的 IP 地址，且 Hostname 参数与在 Zabbix 前端 中定义的主机名相匹配。这使 agent 能够为其主机请求主动检查，并从指定的 Zabbix 服务器接收。例如：

ServerActive=192.0.2.0
       Hostname=MyWindowsHost

2. 重启 Zabbix agent 服务以应用更改：

net stop "Zabbix Agent" && net start "Zabbix Agent"

3. 检查 Windows 主机是否正在运行：

• 确保 Zabbix agent 服务在 Windows 主机上运行。
• 检查 Windows 主机是否能通过端口 10051 连接到 Zabbix 服务器。要从 Windows 主机测试连通性，打开 PowerShell 并运行以下命令：

Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051

配置 Zabbix 前端

1. 导航至 数据收集 > 主机 并 创建一个主机:

• 在 主机名 字段中，输入一个主机名（例如，“MyWindowsHost”）。
• 在 主机群组 字段中，输入或选择一个主机群组（例如，“事件日志监控”）。
• 点击 添加 以保存配置的主机。

2. 创建一个具有以下参数的新监控项：

• 在 名称 字段中，输入一个描述性的监控项名称（例如，“安全日志：失败的登录事件”）。
• 在 类型 下拉菜单中，选择 “Zabbix agent（主动）”（事件日志监控所必需）。
• 在 键 字段中，使用 eventlog 监控项键。例如，要监控安全日志中失败的登录尝试（事件ID：4625），并忽略早于监控项上次检查时间的条目（使用 skip 参数），输入以下监控项键：eventlog[Security,,,,4625,,skip]
• 在 信息类型 下拉菜单中，选择 “日志”。

3. 点击 添加 以保存监控项。

测试和查看收集的指标

恭喜！Zabbix 现在已设置好以收集您的 Windows 事件日志。 要验证事件日志是否正在被收集，您可以测试“安全日志：失败的登录事件”监控项，方法是注销您的 Windows 帐户并尝试使用错误的凭据登录。

然后，在 Zabbix 前端查看收集的日志：

1. 在 Zabbix 前端导航至 监控 > 最新数据。

2. 在 名称 字段中按您的“MyWindowsHost”主机进行过滤。

3. 点击 历史 查看记录的日志值。

4. 如果缺少日志值，请转到本指南的 故障排除 部分。

设置问题告警

本指南提供了基本的配置步骤，用于发送电子邮件告警。

1. 请导航至数据收集 > 主机，以定义一个触发器，当您的事件日志监控项记录您关心的模式时触发。例如，为了捕捉安全日志中失败的登录尝试，使用find()函数：

find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")

2. 请导航至用户设置 > 个人资料，切换到媒体标签页，并添加您的电子邮件。

3. 请遵循接收问题通知的指南。

下次当Zabbix检测到问题时，您应该会通过电子邮件收到告警。

故障排除

如果您在收集或查看Windows事件日志时遇到问题，请使用以下提示来识别和解决常见问题：

1. 在Zabbix服务器（Linux）上，使用以下命令列出您的iptables规则：

sudo iptables -L -n

并验证是否存在允许TCP端口10051的ACCEPT规则。

2. 确保您的eventlog[...]键使用的确切日志名称（区分大小写）、事件ID、模式（例如skip）以及其他参数与Windows特定的监控项键中所示完全一致。

另请参阅：

• 创建监控项 - 学习如何添加额外的指标。
• 在Microsoft Windows上安装Zabbix agent - 详细的安装指南。
• 使用Zabbix agent监控Windows - 一份全面指南，介绍如何使用Zabbix agent为Windows机器设置基础监控。
• Windows专用监控项键值 - 提供Zabbix agent支持的Windows专用监控项键值的详细信息，包括用于事件日志监控的键值。
• 日志文件监控 - 配置Zabbix进行日志文件集中监控和分析的说明，适用于Windows事件日志。