11 Мониторинг журнала событий Windows с использованием активных проверок
Введение
В этом руководстве объясняется, как отслеживать журналы событий Windows в Zabbix с помощью активных проверок. Используя специфичные для Windows ключи элементов данных Zabbix, вы можете собирать и анализировать критические события (например, неудачные попытки входа в систему, системные ошибки и т. д.) в режиме реального времени.
Для кого предназначено это руководство
Это руководство предназначено для новых пользователей Zabbix и сетевых администраторов, которые хотят отслеживать журналы событий Windows. Дополнительные параметры настройки см. в документации специфичных для Windows ключей элементов данных.
Предварительные требования
Прежде чем продолжить, необходимо загрузить и установить сервер Zabbix и веб-интерфейс Zabbix в соответствии с инструкциями для вашей ОС. Также необходимо загрузить и установить агент Zabbix на компьютере с Windows, который вы хотите отслеживать.
Настройка агента Zabbix для мониторинга журнала событий Windows
1. Откройте zabbix_agentd.conf (путь по умолчанию: C:\Program Files\Zabbix Agent\zabbix_agentd.conf) на вашем узле сети Windows и убедитесь, что параметр ServerActive установлен в IP-адрес вашего сервера Zabbix, а параметр Hostname соответствует имени узла сети, которое будет задано в веб-интерфейсе Zabbix. Это позволяет агенту запрашивать активные проверки для своего узла сети и у указанного сервера Zabbix. Например:
ServerActive=192.0.2.0
Hostname=MyWindowsHost2. Перезапустите службу агента Zabbix, чтобы применить изменения:
net stop "Zabbix Agent" && net start "Zabbix Agent"3. Убедитесь, что узел сети Windows работает:
- Убедитесь, что служба агента Zabbix запущена на узле сети Windows.
- Проверьте, что узел сети Windows может подключиться к серверу Zabbix через порт 10051. Чтобы проверить подключение с узла сети Windows, откройте PowerShell и выполните следующую команду:
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051Настройка веб-интерфейса Zabbix
1. Перейдите в Сбор данных > Узлы сети и создайте узел сети:
- В поле Имя узла сети введите имя узла сети (например, "MyWindowsHost").
- В поле Группы узлов сети введите или выберите группу узлов сети (например, "Event log Monitoring").
- Нажмите Добавить, чтобы сохранить настроенный узел сети.
В поле Шаблоны вы можете добавить шаблон "Windows by Zabbix agent active", чтобы упростить диагностику, наблюдая, обновляются ли другие активные элементы данных на том же узле сети.
2. Создайте новый элемент данных со следующими параметрами:
- В поле Имя введите понятное имя элемента данных (например, "Security log: failed logon events").
- В раскрывающемся списке Тип выберите "Zabbix агент (активный)" (требуется для мониторинга журнала событий).
- В поле Ключ используйте ключ элемента данных eventlog. Например, чтобы отслеживать неудачные попытки входа в систему (Event ID: 4625) в журнале Security и игнорировать записи старше последней проверки элемента данных (с использованием параметра
skip), введите следующий ключ элемента данных:eventlog[Security,,,,4625,,skip] - В раскрывающемся списке Тип информации выберите "Журнал".
3. Нажмите Добавить, чтобы сохранить элемент данных.
Проверка и просмотр собранных метрик
Поздравляем! Теперь Zabbix настроен на сбор журналов событий Windows. Чтобы убедиться, что журналы событий собираются, вы можете проверить элемент данных "Журнал безопасности: события неудачного входа", выйдя из своей учетной записи Windows и попытавшись войти с неверными учетными данными.
Затем просмотрите собранные журналы в веб-интерфейс Zabbix:
1. Перейдите в Monitoring > Latest data в веб-интерфейс Zabbix.
2. Отфильтруйте по вашему узлу сети "MyWindowsHost" в поле Name.
3. Нажмите History, чтобы просмотреть записанные значения журнала.
4. Если значения журнала отсутствуют, перейдите к разделу руководства Устранение неполадок.
Настройка оповещений о проблемах
В этом руководстве приведены основные шаги по настройке отправки оповещений по электронной почте.
1. Перейдите в Data collection > Hosts, чтобы создать триггер, который сработает, когда ваш элемент данных журнала событий зафиксирует нужный вам шаблон. Например, чтобы отлавливать неудачные попытки входа в журнале Security, используйте функцию find():
find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")
2. Перейдите в User settings > Profile, откройте вкладку Media и добавьте свой адрес электронной почты.
3. Следуйте руководству Получение уведомления о проблеме.
В следующий раз, когда Zabbix обнаружит проблему, вы должны получить оповещение по электронной почте.
Устранение неполадок
Если у вас возникают проблемы со сбором или просмотром журналов событий Windows, воспользуйтесь приведёнными ниже советами, чтобы выявить и устранить распространённые проблемы:
1. На сервере Zabbix (Linux) выведите список правил iptables следующей командой:
sudo iptables -L -nи убедитесь, что существует правило ACCEPT для TCP-порта 10051.
2. Убедитесь, что ваш ключ eventlog[...] использует точное имя журнала (с учётом регистра), ID события, режим (например, skip) и другие параметры в точности так, как показано в разделе Специфичные для Windows ключи элементов данных.
См. также:
- Создание элемента данных — узнайте, как добавлять дополнительные метрики.
- Агент Zabbix в Microsoft Windows — подробные инструкции по установке.
- Мониторинг Windows с помощью агента Zabbix — подробное руководство по настройке базового мониторинга для машин Windows с использованием агента Zabbix.
- Специфичные для Windows ключи элементов данных — подробная информация о поддерживаемых агентами Zabbix ключах элементов данных для Windows, включая ключи для мониторинга журнала событий.
- Мониторинг лог-файлов — инструкции по настройке Zabbix для централизованного мониторинга и анализа лог-файлов, применимые к журналам событий Windows.