11 使用主动检查监控Windows事件日志

介绍

本指南解释了如何使用主动检查通过 Zabbix 监控 Windows 事件日志。借助 Zabbix 提供的 Windows 特定 监控项 键,您可以实时收集和分析关键事件(例如登录失败尝试、系统错误等)。

本指南适用对象

本指南面向希望监控 Windows 事件日志的新 Zabbix 用户和网络管理员。有关高级配置选项,请参考 windows特定的监控项 文档。

前提条件

在开始本指南之前,您需要根据您的操作系统说明安装 download and install Zabbix server 和 Zabbix 前端。此外,您还需要在要监控的 Windows 主机上安装 Zabbix agent downloaded and installed

为Windows事件日志监控配置Zabbix agent

1。打开Windows 主机上的zabbix_agentd.conf文件(默认路径为C:\Program Files\Zabbix Agent\zabbix_agentd.conf),确保serveractive参数设置为您的Zabbix server的IP地址,且主机名参数与Zabbix前端中定义的主机名称匹配。这将使agent能够为其主机请求主动检查,并从指定的Zabbix server获取数据。例如:

ServerActive=192.0.2.0
       Hostname=MyWindowsHost

2。重启Zabbix agent服务以应用更改:

net stop "Zabbix Agent" && net start "Zabbix Agent"

3。检查Windows 主机是否正常运行:

  • 确保Windows 主机上的Zabbix agent服务正在运行。
  • 检查Windows 主机能否连接到Zabbix server的10051端口。要测试Windows 主机的连接性,可打开PowerShell并run以下命令:
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051

配置Zabbix前端

1。导航至 数据收集 > 主机 并执行 create a host

  • 主机名 字段中,输入 一个主机 名称(例如,"MyWindowsHost")。
  • 主机 组 字段中,键入或选择 一个主机 组(例如,"Event log Monitoring")。
  • 点击 添加 以保存配置的 主机。

模板 字段中,您可以添加 "Windows by Zabbix agent active" 模板,以通过观察同一 主机 上的其他活动 监控项 是否正在更新来帮助您进行故障排查。

2。创建一个具有以下参数的新 监控项:

  • 名称 字段中,输入一个描述性的 监控项 名称(例如,"Security log: failed logon events")。
  • 类型 下拉菜单中,选择 "Zabbix agent (active)"(事件日志监控必需)。
  • 键值 字段中,使用 eventlog 监控项 键。例如,要监控安全日志中的登录失败尝试(事件ID:4625)并忽略比 监控项 上次检查更早的条目(使用 skip 参数),请输入以下 监控项 键值:eventlog[Security,,,,4625,,skip]
  • 信息类型 下拉菜单中,选择 "日志"。

3。点击 添加 以保存该 监控项。

测试并查看收集的指标

恭喜!Zabbix 现在已配置为收集您的 Windows 事件日志。 要验证事件日志是否正在被收集,您可以通过注销 Windows 账户并尝试使用错误的凭据登录来测试“安全日志:登录失败事件”监控项。

然后,在 Zabbix 前端查看收集到的日志:

1. 在 Zabbix 前端中,导航到 Monitoring > Latest data

2. 在 Name 字段中,通过您的 "MyWindowsHost" 主机 进行过滤。

3. 点击 History 查看记录的日志值。

4. 如果日志值缺失,请前往指南的 Troubleshooting 部分。

设置问题告警

本指南提供了发送电子邮件告警的基本配置步骤。

1。导航至 数据采集 > 主机,以创建在您的事件日志监控项记录到您关注的模式时触发的添加触发器。例如,要捕获安全日志中的登录失败尝试,请使用find()函数:

查找(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")

2。导航至 User settings > Profile,切换到 媒介 标签页,然后选择 添加用户

3。请按照Receiving a problem notification中的指南操作。

下次当 Zabbix 检测到问题时,您应该会通过电子邮件收到警报。

故障排除

若您在收集或查看Windows事件日志时遇到问题,请参考以下提示来排查和解决常见问题:

1. 在Zabbix server(Linux系统)上,使用以下命令列出iptables规则:

sudo iptables -L -n

并确认存在针对TCP端口10051的ACCEPT规则。

2. 确保您的eventlog[...]键值使用完全匹配的日志名称(区分大小写)、事件ID、模式(如skip)等参数,具体请参照windows特定的监控项中的说明。

参见: