11 アクティブチェックを使用してWindowsイベントログを監視する
はじめに
このガイドでは、アクティブチェックを使用して Zabbix で Windows イベントログを監視する方法を説明します。Zabbix の Windows 固有のアイテムキーを使用すると、重要なイベント(ログオン失敗の試行、システムエラーなど)をリアルタイムで収集および分析できます。
このガイドの対象者
このガイドは、Windows イベントログを監視したい Zabbix の新規ユーザーおよびネットワーク管理者向けに作成されています。高度な設定オプションについては、Windows 固有のアイテムキー のドキュメントを参照してください。
前提条件
このガイドを進める前に、お使いの OS 向けの手順に従って、Zabbix サーバーおよび Zabbix Webインターフェース を ダウンロードしてインストール する必要があります。また、監視対象の Windows マシンに Zabbix エージェント を ダウンロードしてインストール しておく必要があります。
Windowsイベントログ監視用にZabbixエージェントを設定する
1. Windowsホスト上で zabbix_agentd.conf(デフォルトパス: C:\Program Files\Zabbix Agent\zabbix_agentd.conf)を開き、ServerActive パラメータがZabbixサーバーのIPアドレスに設定されていること、および Hostname パラメータが Zabbix Webインターフェース で定義するホスト名と一致していることを確認します。これにより、エージェントは指定されたZabbixサーバーから自身のホストに対するアクティブチェックを要求できるようになります。例:
ServerActive=192.0.2.0
Hostname=MyWindowsHost2. 変更を適用するため、Zabbixエージェントサービスを再起動します。
net stop "Zabbix Agent" && net start "Zabbix Agent"3. Windowsホストが稼働していることを確認します。
- Windowsホスト上でZabbixエージェントサービスが実行中であることを確認します。
- Windowsホストからポート10051でZabbixサーバーに接続できることを確認します。Windowsホストから接続性をテストするには、PowerShellを開いて次のコマンドを実行します。
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051Zabbix Webインターフェースの設定
1. データ収集 > ホスト に移動し、ホストを作成します。
- ホスト名 フィールドに、ホスト名(例: "MyWindowsHost")を入力します。
- ホストグループ フィールドで、ホストグループを入力または選択します(例: "Event log Monitoring")。
- 追加 を押して、設定したホストを保存します。
テンプレート フィールドでは、"Windows by Zabbix agent active" テンプレートを追加できます。同じホスト上の他のアクティブなアイテムが更新されているかどうかを確認することで、トラブルシュートに役立ちます。
2. 次のパラメータで新しいアイテムを作成します。
- 名前 フィールドに、わかりやすいアイテム名を入力します(例: "Security log: failed logon events")。
- タイプ ドロップダウンで、"Zabbix agent (active)" を選択します(イベントログ監視に必須)。
- キー フィールドで、eventlog アイテムキーを使用します。たとえば、Security ログ内のログオン失敗試行(イベント ID: 4625)を監視し、アイテムの前回チェック時点より古いエントリを無視する(
skipパラメータを使用する)には、次のアイテムキーを入力します:eventlog[Security,,,,4625,,skip] - 情報の型 ドロップダウンで、"ログ" を選択します。
3. 追加 をクリックしてアイテムを保存します。
収集したメトリクスのテストと表示
おめでとうございます。これで、Zabbix は Windows イベントログを収集するように設定されました。
イベントログが収集されていることを確認するには、Windows アカウントからログアウトし、誤った認証情報を使用してログインを試みることで、「Security log: failed logon events」アイテムをテストできます。
次に、Zabbix Webインターフェースで収集したログを表示します。
1. Zabbix Webインターフェースで、Monitoring > Latest data に移動します。
2. Name フィールドで、「MyWindowsHost」ホストを指定して絞り込みます。
3. History をクリックして、記録されたログの値を表示します。
4. ログの値が表示されない場合は、このガイドの トラブルシューティング セクションに進んでください。
問題アラートの設定
このガイドでは、メールアラートを送信するための基本的な設定手順を説明します。
1. Data collection > Hosts に移動し、イベントログのアイテムが監視したいパターンを記録したときに発生するトリガーを定義します。例えば、Security ログ内のログオン失敗の試行を検出するには、find() 関数を使用します。
find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")
2. User settings > Profile に移動し、Media タブに切り替えて、メールアドレスを追加します。
3. 問題通知を受信する ガイドに従います。
次回 Zabbix が問題を検出したときに、メールでアラートを受信できるようになります。
トラブルシューティング
Windowsイベントログの収集または表示で問題が発生した場合は、以下のヒントを使用して一般的な問題を特定し、解決してください。
1. Zabbixサーバー(Linux)で、次のコマンドを使用してiptablesルールを一覧表示します。
sudo iptables -L -nTCPポート10051に対するACCEPTルールがあることを確認してください。
2. eventlog[...] キーで、ログ名(大文字と小文字を区別)、イベントID、モード(例: skip)、およびその他のパラメータが、Windows固有のアイテムキー に記載されているとおりに正確に指定されていることを確認してください。
関連項目:
- アイテムの作成 - 追加のメトリクスを追加する方法を説明します。
- Microsoft Windows上のZabbixエージェント - 詳細なインストール手順です。
- ZabbixエージェントでWindowsを監視する - Zabbixエージェントを使用してWindowsマシンの基本的な監視を設定するための包括的なガイドです。
- Windows固有のアイテムキー - イベントログ監視用のものを含む、ZabbixエージェントでサポートされるWindows固有のアイテムキーに関する詳細情報です。
- ログファイル監視 - Windowsイベントログにも適用できる、ログファイルの集中監視および分析のためにZabbixを設定する手順です。