这是原厂英文文档的翻译页面. 欢迎帮助我们 完善文档.

11 使用主动检查监控 Windows 事件日志

在这一节中,我们将介绍如何配置 Zabbix 以使用主动检查来监控 Windows 事件日志。通过主动检查,Zabbix agent 将事件日志信息发送到 Zabbix server,而不是由 Zabbix server 被动地轮询 agent。这种方法可以提高监控效率,尤其是在网络延迟或带宽受限的情况下。

要实现这一功能,您需要在 Windows 主机上安装 Zabbix agent,并确保它配置为能够读取事件日志。接下来,您需要在 Zabbix server 上创建监控项,这些监控项将使用主动检查方法从 Windows 主机收集事件日志数据。

以下是配置步骤的概览:

  1. 在 Windows 主机上安装 Zabbix agent:确保 agent 版本与您的 Zabbix server 兼容,并正确配置 agent 以允许其访问事件日志。

  2. 配置 Zabbix agent:编辑 Zabbix agent 的配置文件,通常为 zabbix_agentd.conf,并添加或修改以下行以启用主动检查:

    ServerActive=Zabbix server IP or hostname
           ServerActivePort=10051

    请将 Zabbix server IP or hostname 替换为您的 Zabbix server 的实际 IP 地址或主机名。

  3. 创建监控项:在 Zabbix server 上,为 Windows 主机创建监控项,使用主动检查方法。例如,您可以使用以下键值:

    system.log[]$<filter>$<sort>$<limit>

    这里,<filter><sort><limit> 是可选参数,用于过滤、排序和限制返回的事件日志条目。

  4. 配置更新间隔:设置监控项的更新间隔,以确定 Zabbix agent 向 Zabbix server 发送事件日志数据的频率。

  5. 验证配置:完成配置后,通过检查 Zabbix server 的监控数据来验证是否成功接收到来自 Windows 主机的事件日志信息。

通过遵循上述步骤,您可以有效地使用主动检查来监控 Windows 事件日志,从而提高监控效率并减少网络负载。

引言

本指南将指导您如何使用主动检查与Zabbix监控Windows事件日志。通过Zabbix特定于Windows的监控项键,您可以实时收集和分析关键事件(如失败的登录尝试、系统错误等)。

本指南面向的读者

本指南专为Zabbix的新用户和希望监控Windows事件日志的网络管理员设计。对于高级配置选项,请参阅Windows-specific item keys文档。

先决条件

在继续本指南之前,您需要根据您的操作系统指令download and install安装Zabbix server和Zabbix前端。此外,您还需要在想要监控的Windows机器上Zabbix agent downloaded and installed

配置 Zabbix agent 以监控 Windows 事件日志

1. 在您的 Windows 主机上打开 zabbix_agentd.conf(默认路径 C:\Program Files\Zabbix Agent\zabbix_agentd.conf),并确保 ServerActive 参数设置为您的 Zabbix 服务器的 IP 地址,且 Hostname 参数与在 Zabbix 前端 中定义的主机名相匹配。这使 agent 能够为其主机请求主动检查,并从指定的 Zabbix 服务器接收。例如:

ServerActive=192.0.2.0
       Hostname=MyWindowsHost

2. 重启 Zabbix agent 服务以应用更改:

net stop "Zabbix Agent" && net start "Zabbix Agent"

3. 检查 Windows 主机是否正在运行:

  • 确保 Zabbix agent 服务在 Windows 主机上运行。
  • 检查 Windows 主机是否能通过端口 10051 连接到 Zabbix 服务器。要从 Windows 主机测试连通性,打开 PowerShell 并运行以下命令:
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051

配置 Zabbix 前端

  1. 导航至 数据收集 > 主机创建一个主机:
  • 主机名 字段中,输入一个主机名(例如,“MyWindowsHost”)。
  • 主机群组 字段中,输入或选择一个主机群组(例如,“事件日志监控”)。
  • 点击 添加 以保存配置的主机。

模板 字段中,您可以添加 “Windows by Zabbix agent active” 模板,以帮助您通过观察同一主机上的其他主动监控项是否在更新来排查问题。

  1. 创建一个具有以下参数的新监控项:
  • 名称 字段中,输入一个描述性的监控项名称(例如,“安全日志:失败的登录事件”)。
  • 类型 下拉菜单中,选择 “Zabbix agent(主动)”(事件日志监控所必需)。
  • 字段中,使用 eventlog 监控项键。例如,要监控安全日志中失败的登录尝试(事件ID:4625),并忽略早于监控项上次检查时间的条目(使用 skip 参数),输入以下监控项键:eventlog[Security,,,,4625,,skip]
  • 信息类型 下拉菜单中,选择 “日志”。

  1. 点击 添加 以保存监控项。

测试和查看收集的指标

恭喜!Zabbix 现在已设置好以收集您的 Windows 事件日志。 要验证事件日志是否正在被收集,您可以测试“安全日志:失败的登录事件”监控项,方法是注销您的 Windows 帐户并尝试使用错误的凭据登录。

然后,在 Zabbix 前端查看收集的日志:

1. 在 Zabbix 前端导航至 监控 > 最新数据

2. 在 名称 字段中按您的“MyWindowsHost”主机进行过滤。

3. 点击 历史 查看记录的日志值。

4. 如果缺少日志值,请转到本指南的 故障排除 部分。

设置问题告警

本指南提供了基本的配置步骤,用于发送电子邮件告警。

1. 请导航至数据收集 > 主机,以定义一个触发器,当您的事件日志监控项记录您关心的模式时触发。例如,为了捕捉安全日志中失败的登录尝试,使用find()函数:

find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")

2. 请导航至用户设置 > 个人资料,切换到媒体标签页,并添加您的电子邮件

3. 请遵循接收问题通知的指南。

下次当Zabbix检测到问题时,您应该会通过电子邮件收到告警。

故障排除

如果您在收集或查看Windows事件日志时遇到问题,请使用以下提示来识别和解决常见问题:

1. 在Zabbix服务器(Linux)上,使用以下命令列出您的iptables规则:

sudo iptables -L -n

并验证是否存在允许TCP端口10051的ACCEPT规则。

2. 确保您的eventlog[...]键使用的确切日志名称(区分大小写)、事件ID、模式(例如skip)以及其他参数与Windows特定的监控项键中所示完全一致。

另请参阅: