11 Monitorar el registre d'esdeveniments de Windows mitjançant comprovacions actives

Introducció

Aquesta guia explica com monitorar els registres d'esdeveniments de Windows amb Zabbix mitjançant comprovacions actives. Amb les claus d'element específiques de Windows de Zabbix, podeu recopilar i analitzar esdeveniments crítics (com ara intents d'inici de sessió fallits, errors del sistema, etc.) en temps real.

A qui s'adreça aquesta guia

Aquesta guia és dissenyada per a nous usuaris de Zabbix i administradors de xarxa que vulguin monitorar els registres d'esdeveniments de Windows. Per a opcions de configuració avançades, consulteu la documentació de Claus d'element específiques de Windows.

Requisits previs

Abans de continuar amb aquesta guia, heu de descarregar i instal·lar el servidor Zabbix i el frontend de Zabbix segons les instruccions del vostre sistema operatiu. També us cal descarregar i instal·lar l'agent Zabbix a la màquina Windows que voleu monitorar.

Configurar l'agent Zabbix per al monitoratge del registre d'esdeveniments de Windows

1. Obriu zabbix_agentd.conf (ruta per defecte C:\Program Files\Zabbix Agent\zabbix_agentd.conf) al vostre equip Windows i assegureu-vos que el paràmetre ServerActive sigui definit com a l'adreça IP del vostre servidor Zabbix i que el paràmetre Hostname coincideixi amb el nom d'equip que es definirà a Zabbix frontend. Això permet que l'agent demani comprovacions actives per al seu equip i des del servidor Zabbix especificat. Per exemple:

ServerActive=192.0.2.0
       Hostname=MyWindowsHost

2. Reinicieu el servei de l'agent Zabbix per aplicar els canvis:

net stop "Zabbix Agent" && net start "Zabbix Agent"

3. Comproveu que l'amfitrió de Windows estigui en execució:

  • Assegureu-vos que el servei de l'agent Zabbix sigui en execució a l'equip Windows.
  • Comproveu que l'equip Windows es pugui connectar al servidor Zabbix al port 10051. Per provar la connectivitat des de l'equip, obriu PowerShell i executeu la comanda següent:
Test-NetConnection -ComputerName <IP-del-servidor-Zabbix> -Port 10051

Configura el frontend de Zabbix

1. Navega a Recopilació de dades > Hosts i crea un host:

  • Al camp Nom de l'host, introdueix un nom d'host (per exemple, "MyWindowsHost").
  • Al camp Grups d'hosts, escriu o selecciona un grup d'hosts (per exemple, "Monitorització del registre d'esdeveniments").
  • Prem Afegeix per desar l'host configurat.

Al camp Plantilles pots afegir la plantilla "Windows by Zabbix agent active" per ajudar-te a solucionar problemes observant si altres elements actius al mateix host s'estan actualitzant.

2. Crea un element nou amb els paràmetres següents:

  • Al camp Nom, introdueix un nom d'element descriptiu (per exemple, "Registre de seguretat: esdeveniments d'inici de sessió fallits").

  • Al menú desplegable Tipus, selecciona "Agent Zabbix (actiu)" (obligatori per a la supervisió del registre d'esdeveniments).

  • Al camp Clau, utilitza la clau d'element eventlog. Per exemple, per monitorar els intents d'inici de sessió fallits (ID d'esdeveniment: 4625) al registre de seguretat i per ignorar les entrades anteriors a la darrera comprovació de l'element (mitjançant el paràmetre skip), introdueix la clau d'element següent: eventlog[Seguretat,,,,4625,,skip]

  • Al menú desplegable Tipus d'informació, trieu "Registre".

3. Feu clic a Afegir per desar l'element.

Prova i visualització de les mètriques recollides

Caram, molt bé! Zabbix ja és configurat per recollir els registres d'esdeveniments de Windows. Per verificar que es recullen els registres d'esdeveniments, podeu provar l'element "Registre de seguretat: esdeveniments d'inici de sessió fallits" tancant la sessió del vostre compte de Windows i intentant iniciar la sessió amb credencials incorrectes.

Tot seguit, reviseu els registres recollits al frontend de Zabbix:

  1. Navegueu a Monitoratge> Dades més recents a la interfície de Zabbix.

  1. Filtreu pel vostre equip "MyWindowsHost" al camp Nom.

  2. Feu clic a Historial per veure els valors del registre enregistrats.

4. Si no hi ha valors de registre, aneu a la secció Resolució de problemes de la guia.

Configuració de les alertes de problemes

Aquesta guia proporciona les passes de configuració bàsiques per enviar alertes per correu electrònic.

1. Aneu a Recull de dades > Equips per definir un trigger que s'activi quan l'element del registre d'esdeveniments registra el patró que us interessa. Per exemple, per detectar els intents d'inici de sessió fallits al registre de seguretat, utilitzeu la funció find():

find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Error d'inici de sessió")

2. Aneu a Configuració d'usuari > Perfil, canvieu a la pestanya Suports i afegiu el vostre correu electrònic.

3. Seguiu la guia per a Rebre una notificació de problema.

La propera vegada, quan Zabbix detecti un problema, hauríeu de rebre una alerta per correu electrònic.

Resolució de problemes

Si teniu problemes per recopilar o visualitzar registres d'esdeveniments de Windows, feu servir els consells següents per identificar i resoldre problemes comuns:

1. Al servidor Zabbix (Linux), llisteu les vostres regles iptables amb l'ordre següent:

sudo iptables -L -n

i verifiqueu que hi hagi una regla ACCEPT per al port TCP 10051.

2. Assegureu-vos que la vostra clau eventlog[...] utilitzi el nom exacte del registre (distinguent entre majúscules i minúscules), l'ID de l'esdeveniment, el mode (per exemple, ometre) i altres paràmetres exactament com es mostren a les Claus d'element específiques de Windows.

Veieu també: