Aquesta guia explica com monitorar els registres d'esdeveniments de Windows amb Zabbix mitjançant comprovacions actives. Amb les claus d'element específiques de Windows de Zabbix, podeu recopilar i analitzar esdeveniments crítics (com ara intents d'inici de sessió fallits, errors del sistema, etc.) en temps real.
A qui s'adreça aquesta guia
Aquesta guia és dissenyada per a nous usuaris de Zabbix i administradors de xarxa que vulguin monitorar els registres d'esdeveniments de Windows. Per a opcions de configuració avançades, consulteu la documentació de Claus d'element específiques de Windows.
Requisits previs
Abans de continuar amb aquesta guia, heu de descarregar i instal·lar el servidor Zabbix i el frontend de Zabbix segons les instruccions del vostre sistema operatiu. També us cal descarregar i instal·lar l'agent Zabbix a la màquina Windows que voleu monitorar.
1. Obriu zabbix_agentd.conf
(ruta per defecte C:\Program Files\Zabbix Agent\zabbix_agentd.conf
) al vostre equip Windows i assegureu-vos que el paràmetre ServerActive sigui definit com a l'adreça IP del vostre servidor Zabbix i que el paràmetre Hostname coincideixi amb el nom d'equip que es definirà a Zabbix frontend. Això permet que l'agent demani comprovacions actives per al seu equip i des del servidor Zabbix especificat. Per exemple:
2. Reinicieu el servei de l'agent Zabbix per aplicar els canvis:
3. Comproveu que l'amfitrió de Windows estigui en execució:
1. Navega a Recopilació de dades > Hosts i crea un host:
Al camp Plantilles pots afegir la plantilla "Windows by Zabbix agent active" per ajudar-te a solucionar problemes observant si altres elements actius al mateix host s'estan actualitzant.
2. Crea un element nou amb els paràmetres següents:
Al camp Nom, introdueix un nom d'element descriptiu (per exemple, "Registre de seguretat: esdeveniments d'inici de sessió fallits").
Al menú desplegable Tipus, selecciona "Agent Zabbix (actiu)" (obligatori per a la supervisió del registre d'esdeveniments).
Al camp Clau, utilitza la clau d'element eventlog. Per exemple, per monitorar els intents d'inici de sessió fallits (ID d'esdeveniment: 4625) al registre de seguretat i per ignorar les entrades anteriors a la darrera comprovació de l'element (mitjançant el paràmetre skip
), introdueix la clau d'element següent: eventlog[Seguretat,,,,4625,,skip]
Al menú desplegable Tipus d'informació, trieu "Registre".
3. Feu clic a Afegir per desar l'element.
Caram, molt bé! Zabbix ja és configurat per recollir els registres d'esdeveniments de Windows. Per verificar que es recullen els registres d'esdeveniments, podeu provar l'element "Registre de seguretat: esdeveniments d'inici de sessió fallits" tancant la sessió del vostre compte de Windows i intentant iniciar la sessió amb credencials incorrectes.
Tot seguit, reviseu els registres recollits al frontend de Zabbix:
Filtreu pel vostre equip "MyWindowsHost" al camp Nom.
Feu clic a Historial per veure els valors del registre enregistrats.
4. Si no hi ha valors de registre, aneu a la secció Resolució de problemes de la guia.
Aquesta guia proporciona les passes de configuració bàsiques per enviar alertes per correu electrònic.
1. Aneu a Recull de dades > Equips per definir un trigger que s'activi quan l'element del registre d'esdeveniments registra el patró que us interessa. Per exemple, per detectar els intents d'inici de sessió fallits al registre de seguretat, utilitzeu la funció find():
find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Error d'inici de sessió")
2. Aneu a Configuració d'usuari > Perfil, canvieu a la pestanya Suports i afegiu el vostre correu electrònic.
3. Seguiu la guia per a Rebre una notificació de problema.
La propera vegada, quan Zabbix detecti un problema, hauríeu de rebre una alerta per correu electrònic.
Si teniu problemes per recopilar o visualitzar registres d'esdeveniments de Windows, feu servir els consells següents per identificar i resoldre problemes comuns:
1. Al servidor Zabbix (Linux), llisteu les vostres regles iptables amb l'ordre següent:
i verifiqueu que hi hagi una regla ACCEPT per al port TCP 10051.
2. Assegureu-vos que la vostra clau eventlog[...]
utilitzi el nom exacte del registre (distinguent entre majúscules i minúscules), l'ID de l'esdeveniment, el mode (per exemple, ometre) i altres paràmetres exactament com es mostren a les Claus d'element específiques de Windows.
Veieu també:
Creació d'un element - apreneu a afegir mètriques addicionals.
Agent Zabbix a Microsoft Windows - instruccions d'instal·lació detallades.
Monitorar Windows amb l'agent Zabbix - una guia completa sobre la configuració del monitoratge bàsic per a màquines Windows mitjançant l'agent Zabbix.
Claus d'element específiques de Windows - informació detallada sobre les claus d'element específiques de Windows compatibles amb els agents Zabbix, incloses les que es fan servir per al monitoratge del registre d'esdeveniments.
Monitoratge de fitxers de registre - instruccions sobre la configuració de Zabbix per al monitoratge i l'anàlisi centralitzades dels fitxers de registre, aplicables als registres d'esdeveniments de Windows.