2 Windows Zabbix agent

Overzicht

De Windows Zabbix-agent items worden gepresenteerd in twee lijsten:

• Gedeelde items - de itemsleutels die worden gedeeld met de UNIX Zabbix-agent;
• Windows-specifieke items - de itemsleutels die alleen worden ondersteund op Windows.

Houd er rekening mee dat alle itemsleutels die worden ondersteund door de Zabbix-agent op Windows, ook worden ondersteund door de nieuwe generatie Zabbix-agent 2. Zie de aanvullende itemsleutels die je alleen met agent 2 kunt gebruiken.

Zie ook: Minimale rechten voor Windows-items

Gedeelde items

De onderstaande tabel bevat Zabbix-agent items die worden ondersteund op Windows en gedeeld worden met de UNIX Zabbix-agent:

• De itemsleutel is een link naar de volledige details van het UNIX Zabbix-agent item.
• Windows-gerelateerde itemopmerkingen zijn opgenomen.

Windows-specifieke items

De tabel geeft details over de itemsleutels die alleen worden ondersteund door de Windows Zabbix-agent.

Windows-specifieke items zijn soms een bij benadering overeenkomend item van een vergelijkbare agent, bijvoorbeeld proc_info, ondersteund op Windows, komt ruwweg overeen met het item proc.mem, niet ondersteund op Windows.

De itemsleutel is een link naar de volledige details van de itemsleutel.

Itemsleutel-details

Parameters zonder haakjes zijn verplicht. Parameters gemarkeerd met haakjes < > zijn optioneel.

eventlog[naam,<regexp>,<ernstigheid>,<bron>,<gebeurtenis-id>,<maximale-regels>,<modus>]

De gebeurtenislogboekmonitoring.
Retourwaarde: Logboek.

Parameters:

• naam - de naam van het gebeurtenislogboek;
  
• regexp - een reguliere expressie die het vereiste patroon beschrijft (hoofdlettergevoelig);
  
• ernstigheid - een reguliere expressie die de ernst beschrijft (hoofdletterongevoelig). Deze parameter accepteert een reguliere expressie op basis van de volgende waarden: "Informatie", "Waarschuwing", "Fout", "Kritiek", "Uitgebreid" (wordt uitgevoerd op Windows Vista of nieuwer).
  
• bron - een reguliere expressie die de bronidentificatie beschrijft (hoofdletterongevoelig);
  
• gebeurtenis-id - een reguliere expressie die de gebeurtenisidentificatie(s) beschrijft (hoofdlettergevoelig);
  
• maximale-regels - het maximale aantal nieuwe regels per seconde dat de agent naar de Zabbix-server of proxy zal sturen. Deze parameter overschrijft de waarde van 'MaxLinesPerSecond' in zabbix_agentd.conf.
  
• modus - mogelijke waarden: alles (standaard) of overslaan - het verwerken van oudere gegevens overslaan (heeft alleen invloed op nieuw gemaakte items).

Opmerkingen:

• Het item moet worden geconfigureerd als een actieve controle;
• De agent kan geen gebeurtenissen verzenden vanuit het logboek "Forwarded events";
• Windows Eventing 6.0 wordt ondersteund;
• Het selecteren van een niet-Logboek informatietype voor dit item zal leiden tot verlies van lokale tijdstempel, evenals logboekernst en broninformatie;
• Zie ook aanvullende informatie over logboekmonitoring.

Voorbeelden:

eventlog[Toepassing]
eventlog[Beveiliging,,"Geslaagde audit",,^(529|680)$]
eventlog[Systeem,,"Waarschuwing|Fout"]
eventlog[Systeem,,,,^1$]
eventlog[Systeem,,,,@TWOSHORT] #hier wordt verwezen naar een aangepaste reguliere expressie met de naam 'TWOSHORT' (gedefinieerd als een type *Result is TRUE*, de expressie zelf is `^1$|^70$`).

eventlog.count[name,<regexp>,<severity>,<source>,<eventid>,<maxproclines>,<mode>]

The count of lines in the Windows event log.
Return value: Integer.

Parameters:

• name - the name of the event log;
  
• regexp - a regular expression describing the required pattern (case sensitive);
  
• severity - a regular expression describing severity (case insensitive). This parameter accepts a regular expression based on the following values: "Information", "Warning", "Error", "Critical", "Verbose" (running on Windows Vista or newer).
  
• source - a regular expression describing the source identifier (case insensitive);
  
• eventid - a regular expression describing the event identifier(s) (case sensitive);
  
• maxproclines - the maximum number of new lines per second the agent will analyze (cannot exceed 10000). The default value is 10*'MaxLinesPerSecond' in zabbix_agentd.conf.
  
• mode - possible values: all (default) or skip - skip the processing of older data (affects only newly created items).

Comments:

• The item must be configured as an active check;
• The agent is unable to send in events from the "Forwarded events" log;
• Windows Eventing 6.0 is supported;
• Selecting a non-Log type of information for this item will lead to the loss of local timestamp, as well as log severity and source information;
• See also additional information on log monitoring.

Example:

eventlog.count[System,,"Warning|Error"]    

net.if.list

The network interface list (includes interface type, status, IPv4 address, description).
Return value: Text.

Comments:

• Multi-byte interface names supported;
• Disabled interfaces are not listed;
• Enabling/disabling some components may change their ordering in the Windows interface name;
• Some Windows versions (for example, Server 2008) might require the latest updates installed to support non-ASCII characters in interface names.

perf_counter[counter,<interval>]

The value of any Windows performance counter.
Return value: Integer, float, string or text (depending on the request).

Parameters:

• counter - the path to the counter;
  
• interval - the last N seconds for storing the average value. The interval must be between 1 and 900 seconds (included) and the default value is 1.

Comments:

• interval is used for counters that require more than one sample (like CPU utilization), so the check returns an average value for last "interval" seconds every time;
• Performance Monitor can be used to obtain the list of available counters.
• See also: Windows performance counters.

perf_counter_en[counter,<interval>]

The value of any Windows performance counter in English.
Return value: Integer, float, string or text (depending on the request).

Parameters:

• counter - the path to the counter in English;
  
• interval - the last N seconds for storing the average value. The interval must be between 1 and 900 seconds (included) and the default value is 1.

Comments:

• interval is used for counters that require more than one sample (like CPU utilization), so the check returns an average value for last "interval" seconds every time;
• This item is only supported on Windows Server 2008/Vista and above;
• You can find the list of English strings by viewing the following registry key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\009.

perf_instance.discovery[object]

The list of object instances of Windows performance counters. Used for low-level discovery.
Return value: JSON object.

Parameter:

• object - the object name (localized).

perf_instance_en.discovery[object]

The list of object instances of Windows performance counters, discovered using the object names in English. Used for low-level discovery.
Return value: JSON object.

Parameter:

• object - the object name (in English).

proc_info[process,<attribute>,<type>]

Various information about specific process(es).
Return value: Float.

Parameters:

• process - the process name;
  
• attribute - the requested process attribute;
  
• type - the representation type (meaningful when more than one process with the same name exists)

Comments:

• The following attributes are supported:
  vmsize (default) - size of process virtual memory in Kbytes
  wkset - size of process working set (amount of physical memory used by process) in Kbytes
  pf - number of page faults
  ktime - process kernel time in milliseconds
  utime - process user time in milliseconds
  io_read_b - number of bytes read by process during I/O operations
  io_read_op - number of read operation performed by process
  io_write_b - number of bytes written by process during I/O operations
  io_write_op - number of write operation performed by process
  io_other_b - number of bytes transferred by process during operations other than read and write operations
  io_other_op - number of I/O operations performed by process, other than read and write operations
  gdiobj - number of GDI objects used by process
  userobj - number of USER objects used by process;
  
• Valid types are:
  avg (default) - average value for all processes named <process>
  min - minimum value among all processes named <process>
  max - maximum value among all processes named <process>
  sum - sum of values for all processes named <process>;
• On a 64-bit system, a 64-bit Zabbix agent is required for this item to work correctly.
  

Examples:

proc_info[iexplore.exe,wkset,sum] #retrieve the amount of physical memory taken by all Internet Explorer processes
proc_info[iexplore.exe,pf,avg] #retrieve the average number of page faults for Internet Explorer processes

registry.data[key,<value name>]

Return data for the specified value name in the Windows Registry key.
Return value: Integer, string or text (depending on the value type)

Parameters:

• key - the registry key including the root key; root abbreviations (e.g. HKLM) are allowed;
• value name - the registry value name in the key (empty string "" by default). The default value is returned if the value name is not supplied.

Comments:

• Supported root abbreviations:
  HKCR - HKEY_CLASSES_ROOT
  HKCC - HKEY_CURRENT_CONFIG
  HKCU - HKEY_CURRENT_USER
  HKCULS - HKEY_CURRENT_USER_LOCAL_SETTINGS
  HKLM - HKEY_LOCAL_MACHINE
  HKPD - HKEY_PERFORMANCE_DATA
  HKPN - HKEY_PERFORMANCE_NLSTEXT
  HKPT - HKEY_PERFORMANCE_TEXT
  HKU - HKEY_USERS
  
• Keys with spaces must be double-quoted.

Examples:

registry.data["HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting"] #return the data of the default value of this key
registry.data["HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting","EnableZip"] #return the data of the value named "Enable Zip" in this key

registry.get[key,<mode>,<name regexp>]

The list of Windows Registry values or keys located at given key.
Return value: JSON object.

Parameters:

• key - the registry key including the root key; root abbreviations (e.g. HKLM) are allowed (see comments for registry.data[] to see full list of abbreviations);
  
• mode - possible values:
  values (default) or keys;
  
• name regexp - only discover values with names that match the regexp (default - discover all values). Allowed only with values as mode.

Keys with spaces must be double-quoted.

Examples:

registry.get[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,values,"^DisplayName|DisplayVersion$"] #return the data of the values named "DisplayName" or "DisplayValue" in this key. The JSON will include details of the key, last subkey, value name, value type and value data.
registry.get[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,values] #return the data of the all values in this key. The JSON will include details of the key, last subkey, value name, value type and value data.
registry.get[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,keys] #return all subkeys of this key. The JSON will include details of the key and last subkey.

service.discovery

The list of Windows services. Used for low-level discovery.
Return value: JSON object.

service.info[service,<param>]

Information about a service.
Return value: Integer - with param as state, startup; String - with param as displayname, path, user; Text - with param as description
Specifically for state: 0 - running, 1 - paused, 2 - start pending, 3 - pause pending, 4 - continue pending, 5 - stop pending, 6 - stopped, 7 - unknown, 255 - no such service
Specifically for startup: 0 - automatic, 1 - automatic delayed, 2 - manual, 3 - disabled, 4 - unknown, 5 - automatic trigger start, 6 - automatic delayed trigger start, 7 - manual trigger start

Parameters:

• service - a real service name or its display name as seen in the MMC Services snap-in;
• param - state (default), displayname, path, user, startup, or description.

Comments:

• Items like service.info[service,state] and service.info[service] will return the same information;
• Only with param as state this item returns a value for non-existing services (255).

Examples:

service.info[SNMPTRAP] - state of the SNMPTRAP service;
service.info[SNMP Trap] - state of the same service, but with the display name specified;
service.info[EventLog,startup] - the startup type of the EventLog service

services[<type>,<state>,<exclude>]

De lijst van services.
Retourwaarde: 0 - als leeg; Tekst - de lijst van services gescheiden door een nieuwe regel.

Parameters:

• type - all (standaard), automatisch, handmatig, of uitgeschakeld;
• state - all (standaard), gestopt, gestart, start_pending, stop_pending, actief, doorgaan_in_behandeling, pauzeren_in_behandeling, of gepauzeerd;
• exclude - de services die moeten worden uitgesloten van het resultaat. Uitgesloten services moeten worden vermeld tussen dubbele aanhalingstekens, gescheiden door een komma, zonder spaties.

Voorbeelden:

services[,gestart] #retourneert de lijst van gestarte services;
services[automatisch, gestopt] #retourneert de lijst van gestopte services die actief moeten zijn;
services[automatisch, gestopt, "service1,service2,service3"] #retourneert de lijst van gestopte services die actief moeten zijn, met uitzondering van services met de namen "service1", "service2" en "service3"

vm.vmemory.size[<type>]

The virtual memory size in bytes or in percentage from the total.
Return value: Integer - for bytes; float - for percentage.

Parameter:

• type - possible values: available (available virtual memory), pavailable (available virtual memory, in percent), pused (used virtual memory, in percent), total (total virtual memory, default), or used (used virtual memory)

Comments:

• The monitoring of virtual memory statistics is based on:
  
  • Total virtual memory on Windows (total physical + page file size);
    
  • The maximum amount of memory Zabbix agent can commit;
    
  • The current committed memory limit for the system or Zabbix agent, whichever is smaller.

Example:

vm.vmemory.size[pavailable] #return the available virtual memory, in percentage

wmi.get[<namespace>,<query>]

Execute a WMI query and return the first selected object.
Return value: Integer, float, string or text (depending on the request).

Parameters:

• namespace - the WMI namespace;
  
• query - the WMI query returning a single object.

WMI queries are performed with WQL.

Example:

wmi.get[root\cimv2,select status from Win32_DiskDrive where Name like '%PHYSICALDRIVE0%'] #returns the status of the first physical disk

wmi.getall[<namespace>,<query>]

Execute a WMI query and return the whole response. Can be used for low-level discovery.
Return value: JSON object

Parameters:

• namespace - the WMI namespace;
  
• query - the WMI query.

Comments:

• WMI queries are performed with WQL.
• JSONPath preprocessing can be used to point to more specific values in the returned JSON.

Example:

wmi.getall[root\cimv2,select * from Win32_DiskDrive where Name like '%PHYSICALDRIVE%'] #returns status information of physical disks

Monitoren van Windows-services

Deze handleiding biedt stapsgewijze instructies voor het instellen van de monitoring van Windows-services. We gaan ervan uit dat de Zabbix-server en agent geconfigureerd en operationeel zijn.

Stap 1

Verkrijg de servicenaam.

Je kunt de servicenaam verkrijgen door naar de MMC Services-snap-in te gaan en de eigenschappen van de service te openen. In het tabblad Algemeen zou je een veld genaamd "Servicenaam" moeten zien. De waarde die volgt, is de naam die je zult gebruiken bij het instellen van een item voor monitoring. Bijvoorbeeld, als je de "workstation" service wilt monitoren, dan kan je servicenaam zijn: lanmanworkstation.

Stap 2

Configureer een item voor het monitoren van de service.

Het item service.info[service,<param>] haalt informatie op over een specifieke service. Afhankelijk van de informatie die je nodig hebt, geef je de param optie op met de volgende waarden: displayname, state, path, user, startup of description. De standaardwaarde is state als param niet is gespecificeerd (service.info[service]).

Het type retourwaarde is afhankelijk van de gekozen param: een geheel getal voor state en startup; een tekenreeks voor displayname, path en user; tekst voor description.

Voorbeeld:

• Sleutel: service.info[lanmanworkstation]
• Soort informatie: Numeriek (ongesigneerd)

Het item service.info[lanmanworkstation] haalt informatie op over de status van de service als een numerieke waarde. Om een numerieke waarde naar een tekstweergave in de frontend te mappen ("0" als "Running", "1" as "Paused", enz.), kun je waardeafbeelding configureren op de host waarop het item is geconfigureerd. Hiervoor koppel je het sjabloon hetzij via sjabloon koppelen Windows services via Zabbix-agent hetzij Windows services via actieve Zabbix-agent aan de host, of configureer op de host een nieuwe waardeafbeelding die is gebaseerd op de Windows service status waardeafbeelding die is geconfigureerd op de genoemde sjablonen.

Let op, beide genoemde sjablonen hebben een ontdekkingsregel die automatisch services ontdekt. Als je dit niet wilt, kun je de ontdekkingsregel uitschakelen op het hostniveau zodra het sjabloon aan de host is gekoppeld.

Ontdekking van Windows-services

Laag-niveau ontdekking biedt een manier om automatisch items, triggers en grafieken te maken voor verschillende entiteiten op een computer. Zabbix kan automatisch beginnen met het monitoren van Windows-services op jouw machine, zonder dat je de exacte naam van een service hoeft te weten of handmatig items voor elke service hoeft aan te maken. Een filter kan worden gebruikt om echte items, triggers en grafieken alleen te genereren voor services die van belang zijn.