11 Monitorizar el registro de eventos de Windows utilizando comprobaciones activas
Introducción
Esta guía explica cómo monitorizar los registros de eventos de Windows con Zabbix utilizando comprobaciones activas. Con las claves de métricas específicas de Windows en Zabbix, puede recopilar y analizar eventos críticos (como intentos fallidos de inicio de sesión, errores del sistema, etc.) en tiempo real.
A quién va dirigida esta guía
Esta guía está diseñada para nuevos usuarios de Zabbix y administradores de red que deseen monitorizar los registros de eventos de Windows. Para opciones de configuración avanzadas, consulte la documentación de claves de métricas específicas de Windows.
Requisitos previos
Antes de continuar con esta guía, debe descargar e instalar el servidor Zabbix y el frontend de Zabbix según las instrucciones para su sistema operativo. También necesita tener el agente Zabbix descargado e instalado en la máquina Windows que desea monitorizar.
Configurar Zabbix agent para la supervisión del registro de eventos de Windows
1. Abra zabbix_agentd.conf (ruta predeterminada C:\Program Files\Zabbix Agent\zabbix_agentd.conf) en su host de Windows y asegúrese de que el parámetro ServerActive esté establecido en la dirección IP de su server Zabbix, y de que el parámetro Hostname coincida con el nombre del host que se definirá en Zabbix frontend. Esto permite que el agent solicite comprobaciones activas para su host y desde el server Zabbix especificado. Por ejemplo:
ServerActive=192.0.2.1
Hostname=MyWindowsHost2. Reinicie el servicio de Zabbix agent para aplicar los cambios:
net stop "Zabbix Agent" && net start "Zabbix Agent"3. Compruebe que el host de Windows se está ejecutando:
- Asegúrese de que el servicio de Zabbix agent se esté ejecutando en el host de Windows.
- Compruebe que el host de Windows pueda conectarse al server Zabbix en el puerto 10051. Para probar la conectividad desde el host de Windows, abra PowerShell y ejecute el siguiente comando:
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051Configurar el frontend de Zabbix
1. Vaya a Data collection > Hosts y cree un host:
- En el campo Host name, introduzca un nombre de host (por ejemplo, "MyWindowsHost").
- En el campo Host groups, escriba o seleccione un grupo de hosts (por ejemplo, "Event log Monitoring").
- Haga clic en Add para guardar el host configurado.
En el campo Templates puede añadir la template "Windows by Zabbix agent active" para ayudarle a solucionar problemas observando si otros items activos en el mismo host se están actualizando.
2. Cree un nuevo item con los siguientes parámetros:
- En el campo Name, introduzca un nombre descriptivo para el item (por ejemplo, "Security log: failed logon events").
- En la lista desplegable Type, seleccione "Zabbix agent (active)" (requerido para la supervisión de Event log).
- En el campo Key, use la clave de item eventlog. Por ejemplo, para supervisar intentos fallidos de inicio de sesión (Event ID: 4625) en el registro Security e ignorar las entradas más antiguas que la última comprobación del item (usando el parámetro
skip), introduzca la siguiente clave de item:eventlog[Security,,,,4625,,skip] - En la lista desplegable Type of information, seleccione "Log".
3. Haga clic en Add para guardar el item.
Pruebe y vea las métricas recopiladas
¡Felicidades! Zabbix está ahora configurado para recopilar los registros de eventos de Windows. Para verificar que los registros de eventos se están recopilando, puede probar la métrica "Security log: failed logon events" cerrando la sesión de su cuenta de Windows e intentando iniciar sesión utilizando credenciales incorrectas.
Luego, vea los registros recopilados en el frontend de Zabbix:
1. Navegue a Supervisión > Últimos datos en el frontend de Zabbix.
2. Filtre por su equipo "MyWindowsHost" en el campo Nombre.
3. Haga clic en Historial para ver los valores de registro almacenados.
4. Si los valores de registro están ausentes, continúe con la sección Solución de problemas de la guía.
Configurar alertas de problemas
Esta guía proporciona pasos básicos de configuración para enviar alertas por correo electrónico.
1. Vaya a Data collection > Hosts para definir un trigger que se active cuando su item de registro de eventos registre el patrón que le interesa. Por ejemplo, para detectar intentos de inicio de sesión fallidos en el registro de Security, use la función find():
find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")
2. Vaya a User settings > Profile, cambie a la pestaña Media y añada su correo electrónico.
3. Siga la guía para Recibir una notificación de problema.
La próxima vez que Zabbix detecte un problema, debería recibir una alerta por correo electrónico.
Solución de problemas
Si encuentra problemas al recopilar o visualizar registros de eventos de Windows, utilice los siguientes consejos para identificar y resolver problemas comunes:
1. En el servidor Zabbix (Linux), liste sus reglas de iptables con el siguiente comando:
sudo iptables -L -ny verifique que exista una regla ACCEPT para el puerto TCP 10051.
2. Asegúrese de que su clave eventlog[...] utilice el nombre exacto del registro (sensible a mayúsculas y minúsculas), el ID de evento, el modo (por ejemplo, skip) y otros parámetros exactamente como se muestra en las claves de métricas específicas de Windows.
Véase también:
- Creación de un item - aprenda cómo agregar métricas adicionales.
- Zabbix agent en Microsoft Windows - instrucciones detalladas de instalación.
- Monitorizar Windows con Zabbix agent - una guía completa para configurar la monitorización básica de equipos Windows usando Zabbix agent.
- Claves de item específicas de Windows - información detallada sobre las claves de item específicas de Windows compatibles con Zabbix agents, incluidas las de monitorización de registros de eventos.
- Monitorización de archivos de registro - instrucciones para configurar Zabbix para la monitorización y el análisis centralizados de archivos de registro, aplicable a los registros de eventos de Windows.