11 Мониторинг журнала событий Windows с использованием активных проверок
Введение
В этом руководстве объясняется, как отслеживать журналы событий Windows с помощью Zabbix, используя активные проверки. С помощью ключей элементов данных Zabbix, специфичных для Windows, вы можете собирать и анализировать критические события (например, неудачные попытки входа в систему, системные ошибки и т. д.) в реальном времени.
Для кого предназначено это руководство
Это руководство предназначено для новых пользователей Zabbix и сетевых администраторов, которые хотят отслеживать журналы событий Windows. Для получения сведений о дополнительных параметрах настройки см. документацию по ключам элементов данных, специфичным для Windows.
Предварительные требования
Перед тем как продолжить работу с этим руководством, вам необходимо скачать и установить сервер Zabbix и веб-интерфейс Zabbix в соответствии с инструкциями для вашей ОС. Вам также необходимо, чтобы агент Zabbix был скачан и установлен на компьютере Windows, который вы хотите отслеживать.
Настройка агента Zabbix для мониторинга журнала событий Windows
1. Откройте zabbix_agentd.conf (путь по умолчанию C:\Program Files\Zabbix Agent\zabbix_agentd.conf) на вашем узле сети Windows и убедитесь, что параметр ServerActive установлен в IP-адрес вашего сервера Zabbix, а параметр Hostname соответствует имени узла сети, которое будет задано в веб-интерфейсе Zabbix. Это позволяет агенту запрашивать активные проверки для своего узла сети и у указанного сервера Zabbix. Например:
ServerActive=192.0.2.1
Hostname=MyWindowsHost2. Перезапустите службу агента Zabbix, чтобы применить изменения:
net stop "Zabbix Agent" && net start "Zabbix Agent"3. Проверьте, что узел сети Windows работает:
- Убедитесь, что служба агента Zabbix запущена на узле сети Windows.
- Проверьте, что узел сети Windows может подключаться к серверу Zabbix через порт 10051. Чтобы проверить подключение с узла сети Windows, откройте PowerShell и выполните следующую команду:
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051Настройка веб-интерфейса Zabbix
1. Перейдите в Сбор данных > Узлы сети и создайте узел сети:
- В поле Имя узла сети введите имя узла сети (например, "MyWindowsHost").
- В поле Группы узлов сети введите или выберите группу узлов сети (например, "Event log Monitoring").
- Нажмите Добавить, чтобы сохранить настроенный узел сети.
В поле Шаблоны можно добавить шаблон "Windows by Zabbix agent active", чтобы помочь в поиске неисправностей, наблюдая, обновляются ли другие активные элементы данных на том же узле сети.
2. Создайте новый элемент данных со следующими параметрами:
- В поле Имя введите описательное имя элемента данных (например, "Security log: failed logon events").
- В раскрывающемся списке Тип выберите "Zabbix agent (active)" (требуется для мониторинга журнала событий).
- В поле Ключ используйте ключ элемента данных eventlog. Например, чтобы отслеживать неудачные попытки входа в систему (Event ID: 4625) в журнале Security и игнорировать записи, более старые, чем последняя проверка элемента данных (с использованием параметра
skip), введите следующий ключ элемента данных:eventlog[Security,,,,4625,,skip] - В раскрывающемся списке Тип информации выберите "Log".
3. Нажмите Добавить, чтобы сохранить элемент данных.
Тестирование и просмотр собранных метрик
Поздравляем! Zabbix теперь настроен на сбор журналов событий Windows. Чтобы проверить, что журналы событий собираются, вы можете протестировать элемент данных "Security log: failed logon events", выйдя из своей учетной записи Windows и попытавшись войти с неверными учетными данными.
Затем просмотрите собранные журналы в веб-интерфейсе Zabbix:
1. Перейдите в Monitoring > Latest data в веб-интерфейсе Zabbix.
2. Отфильтруйте по узлу сети "MyWindowsHost" в поле Name.
3. Нажмите History, чтобы просмотреть записанные значения журнала.
4. Если значения журнала отсутствуют, перейдите к разделу Troubleshooting этого руководства.
Настройка оповещений о проблемах
Это руководство содержит основные шаги настройки отправки оповещений по электронной почте.
1. Перейдите в Data collection > Hosts, чтобы определить триггер, который срабатывает, когда элемент данных журнала событий записывает нужный вам шаблон. Например, чтобы обнаруживать неудачные попытки входа в журнале Security, используйте функцию find():
find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")
2. Перейдите в User settings > Profile, откройте вкладку Media и добавьте свой email.
3. Следуйте руководству по получению уведомления о проблеме.
В следующий раз, когда Zabbix обнаружит проблему, вы должны получить оповещение по электронной почте.
Troubleshooting
If you encounter issues with collecting or viewing Windows event logs, use the tips below to identify and resolve common problems:
1. On Zabbix server (Linux) list your iptables rules with the following command:
sudo iptables -L -nand verify there's an ACCEPT rule for TCP port 10051.
2. Make sure your eventlog[...] key uses the exact log name (case-sensitive), event ID, mode (e.g. skip) and other parameters exactly as shown in the Windows-specific item keys.
См. также:
- Создание элемента данных - узнайте, как добавить дополнительные метрики.
- Агент Zabbix в Microsoft Windows - подробные инструкции по установке.
- Мониторинг Windows с помощью агента Zabbix - подробное руководство по настройке базового мониторинга для компьютеров Windows с использованием агента Zabbix.
- Ключи элементов данных, специфичные для Windows - подробная информация о ключах элементов данных для Windows, поддерживаемых агентами Zabbix, включая ключи для мониторинга журнала событий.
- Мониторинг файлов журналов - инструкции по настройке Zabbix для централизованного мониторинга и анализа файлов журналов, применимые к журналам событий Windows.