2 Agent Zabbix para Windows

Visão geral

Os items do agent Zabbix para Windows são apresentados em duas listas:

• Items compartilhados - as chaves de item que são compartilhadas com o agent Zabbix para UNIX;
• Items específicos do Windows - as chaves de item que são suportadas apenas no Windows.

Observe que todas as chaves de item suportadas pelo agent Zabbix no Windows também são suportadas pela nova geração do agent Zabbix 2. Veja as chaves de item adicionais que você pode usar apenas com o agent 2.

Veja também: Permissões mínimas para itens do Windows

Itens compartilhados

A tabela abaixo lista os itens do agent Zabbix que são suportados no Windows e são compartilhados com o agent Zabbix UNIX:

• A chave do item é um link para detalhes completos do item do agent Zabbix UNIX
• Comentários relevantes para o item no Windows estão incluídos

Itens específicos do Windows

A tabela fornece detalhes sobre as chaves de item que são suportadas apenas pelo agent Zabbix para Windows.

Itens específicos do Windows às vezes são equivalentes aproximados de um item de agent similar, por exemplo, proc_info, suportado no Windows, corresponde aproximadamente ao item proc.mem, não suportado no Windows.

A chave do item é um link para detalhes completos da chave do item.

Detalhes da chave do item

Parâmetros sem colchetes angulares são obrigatórios. Parâmetros marcados com colchetes angulares < > são opcionais.

eventlog[name,<regexp>,<severity>,<source>,<eventid>,<maxlines>,<mode>]

Monitoramento de log de eventos.
Valor de retorno: Log.

Parâmetros:

• name - o nome do canal do log de eventos (Nome do Log na interface do Visualizador de Eventos);
  
• regexp - uma expressão regular descrevendo o padrão necessário (diferencia maiúsculas de minúsculas);
  
• severity - uma expressão regular descrevendo a severidade (não diferencia maiúsculas de minúsculas). Este parâmetro aceita uma expressão regular baseada nos seguintes valores: "Information", "Warning", "Error", "Critical", "Verbose" (executando no Windows Vista ou mais recente).
  
• source - uma expressão regular descrevendo o identificador da fonte (não diferencia maiúsculas de minúsculas);
  
• eventid - uma expressão regular descrevendo o(s) identificador(es) do evento (diferencia maiúsculas de minúsculas);
  
• maxlines - o número máximo de novas linhas por segundo que o agent enviará para o Zabbix server ou proxy. Este parâmetro sobrescreve o valor de 'MaxLinesPerSecond' em zabbix_agentd.conf.
  
• mode - valores possíveis: all (padrão) ou skip - ignora o processamento de dados antigos (afeta apenas items recém-criados).

Comentários:

• O item deve ser configurado como uma verificação ativa;
• O agent não consegue enviar eventos do log "Forwarded events";
• O Windows Eventing 6.0 é suportado;
• Selecionar um tipo de informação diferente de Log para este item resultará na perda do timestamp local, bem como das informações de severidade e fonte do log;
• Veja também informações adicionais sobre monitoramento de log.

Exemplos:

eventlog[Application]
       eventlog[Microsoft-Windows-Application-Experience/Program-Compatibility-Assistant]
       eventlog[Security,,"Failure Audit",,^(529|680)$]
       eventlog[System,,"Warning|Error"]
       eventlog[System,,,,^1$]
       eventlog[Windows PowerShell,,,,,,skip]
       eventlog[System,,,,@TWOSHORT] #aqui uma expressão regular personalizada chamada `TWOSHORT` é referenciada (definida como tipo *Result is TRUE*, a expressão em si sendo `^1$|^70$`).

eventlog.count[name,<regexp>,<severity>,<source>,<eventid>,<maxproclines>,<mode>]

A contagem de linhas no log de eventos do Windows.
Valor de retorno: Integer.

Parâmetros:

• name - o nome do canal do log de eventos (Nome do Log na interface do Visualizador de Eventos);
  
• regexp - uma expressão regular descrevendo o padrão necessário (diferencia maiúsculas de minúsculas);
  
• severity - uma expressão regular descrevendo a severidade (não diferencia maiúsculas de minúsculas). Este parâmetro aceita uma expressão regular baseada nos seguintes valores: "Information", "Warning", "Error", "Critical", "Verbose" (executando no Windows Vista ou mais recente).
  
• source - uma expressão regular descrevendo o identificador da fonte (não diferencia maiúsculas de minúsculas);
  
• eventid - uma expressão regular descrevendo o(s) identificador(es) do evento (diferencia maiúsculas de minúsculas);
  
• maxproclines - o número máximo de novas linhas por segundo que o agent irá analisar (não pode exceder 10000). O valor padrão é 10*'MaxLinesPerSecond' em zabbix_agentd.conf.
  
• mode - valores possíveis: all (padrão) ou skip - ignora o processamento de dados antigos (afeta apenas os itens recém-criados).

Comentários:

• O item deve ser configurado como uma verificação ativa;
• O agent não consegue enviar eventos do log "Forwarded events";
• O Windows Eventing 6.0 é suportado;
• Selecionar um tipo de informação diferente de Log para este item levará à perda do timestamp local, bem como das informações de severidade e fonte do log;
• Veja também informações adicionais sobre monitoramento de logs.

Exemplos:

eventlog.count[System,,"Warning|Error"]
       eventlog.count[Windows PowerShell,,,,,,skip]

net.if.list

A lista de interfaces de rede (inclui tipo de interface, status, endereço IPv4, descrição).
Valor de retorno: Texto.

Comentários:

• Nomes de interface multibyte são suportados;
• Interfaces desabilitadas não são listadas;
• Habilitar/desabilitar alguns componentes pode alterar a ordem deles no nome da interface do Windows;
• Algumas versões do Windows (por exemplo, Server 2008) podem exigir as atualizações mais recentes instaladas para suportar caracteres não ASCII nos nomes das interfaces.

perf_counter[counter,<interval>]

O valor de qualquer contador de desempenho do Windows.
Valor de retorno: Inteiro, float, string ou texto (dependendo da solicitação).

Parâmetros:

• counter - o caminho para o contador;
  
• interval - os últimos N segundos para armazenar o valor médio. O interval deve estar entre 1 e 900 segundos (inclusive) e o valor padrão é 1.

Comentários:

• interval é usado para contadores que requerem mais de uma amostra (como utilização de CPU), então a verificação retorna um valor médio para os últimos "interval" segundos a cada vez;
• O Performance Monitor pode ser usado para obter a lista de contadores disponíveis.
• Veja também: Contadores de desempenho do Windows.

perf_counter_en[counter,<interval>]

O valor de qualquer contador de desempenho do Windows em inglês.
Valor de retorno: Integer, float, string ou text (dependendo da solicitação).

Parâmetros:

• counter - o caminho para o contador em inglês;
  
• interval - os últimos N segundos para armazenar o valor médio. O interval deve estar entre 1 e 900 segundos (inclusive) e o valor padrão é 1.

Comentários:

• interval é usado para contadores que exigem mais de uma amostra (como utilização de CPU), portanto, a verificação retorna um valor médio para os últimos "interval" segundos a cada vez;
• Este item é suportado apenas no Windows Server 2008/Vista e superior;
• Você pode encontrar a lista de strings em inglês visualizando a seguinte chave de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\009.

perf_instance.discovery[object]

A lista de instâncias de objetos dos contadores de desempenho do Windows. Usado para descoberta de baixo nível.
Valor de retorno: objeto JSON.

Parâmetro:

• object - o nome do objeto (localizado).

perf_instance_en.discovery[object]

A lista de instâncias de objeto dos contadores de desempenho do Windows, descobertas usando os nomes de objeto em inglês. Usado para descoberta de baixo nível.
Valor de retorno: objeto JSON.

Parâmetro:

• object - o nome do objeto (em inglês).

proc_info[processo,<atributo>,<tipo>]

Várias informações sobre processo(s) específico(s).
Valor de retorno: Float.

Parâmetros:

• processo - o nome do processo;
  
• atributo - o atributo do processo solicitado;
  
• tipo - o tipo de representação (significativo quando mais de um processo com o mesmo nome existe)

Comentários:

• Os seguintes atributos são suportados:
  vmsize (padrão) - tamanho da memória virtual do processo em Kbytes
  wkset - tamanho do conjunto de trabalho do processo (quantidade de memória física usada pelo processo) em Kbytes
  pf - número de falhas de página
  ktime - tempo de kernel do processo em milissegundos
  utime - tempo de usuário do processo em milissegundos
  io_read_b - número de bytes lidos pelo processo durante operações de I/O
  io_read_op - número de operações de leitura realizadas pelo processo
  io_write_b - número de bytes gravados pelo processo durante operações de I/O
  io_write_op - número de operações de gravação realizadas pelo processo
  io_other_b - número de bytes transferidos pelo processo durante operações diferentes de leitura e gravação
  io_other_op - número de operações de I/O realizadas pelo processo, exceto leitura e gravação
  gdiobj - número de objetos GDI usados pelo processo
  userobj - número de objetos USER usados pelo processo;
  
• Os tipos válidos são:
  avg (padrão) - valor médio para todos os processos chamados <processo>
  min - valor mínimo entre todos os processos chamados <processo>
  max - valor máximo entre todos os processos chamados <processo>
  sum - soma dos valores para todos os processos chamados <processo>;
• Em um sistema 64-bit, um agent Zabbix 64-bit é necessário para que este item funcione corretamente.
  

Exemplos:

proc_info[iexplore.exe,wkset,sum] #recupera a quantidade de memória física usada por todos os processos do Internet Explorer
       proc_info[iexplore.exe,pf,avg] #recupera o número médio de falhas de página para processos do Internet Explorer

registry.data[key,<value name>]

Retorna os dados para o nome de valor especificado na chave do Registro do Windows.
Valor de retorno: Inteiro, string ou texto (dependendo do tipo de valor)

Parâmetros:

• key - a chave do registro incluindo a chave raiz; abreviações de raiz (por exemplo, HKLM) são permitidas;
• value name - o nome do valor do registro na chave (string vazia "" por padrão). O valor padrão é retornado se o nome do valor não for fornecido.

Comentários:

• Abreviações de raiz suportadas:
  HKCR - HKEY_CLASSES_ROOT
  HKCC - HKEY_CURRENT_CONFIG
  HKCU - HKEY_CURRENT_USER
  HKCULS - HKEY_CURRENT_USER_LOCAL_SETTINGS
  HKLM - HKEY_LOCAL_MACHINE
  HKPD - HKEY_PERFORMANCE_DATA
  HKPN - HKEY_PERFORMANCE_NLSTEXT
  HKPT - HKEY_PERFORMANCE_TEXT
  HKU - HKEY_USERS
  
• Chaves com espaços devem ser colocadas entre aspas duplas.

Exemplos:

registry.data["HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting"] #retorna os dados do valor padrão desta chave
       registry.data["HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting","EnableZip"] #retorna os dados do valor chamado "Enable Zip" nesta chave

registry.get[key,<mode>,<name regexp>]

A lista de valores ou chaves do Registro do Windows localizados na chave fornecida.
Valor de retorno: objeto JSON.

Parâmetros:

• key - a chave do registro incluindo a chave raiz; abreviações de raiz (por exemplo, HKLM) são permitidas (veja os comentários para registry.data[] para ver a lista completa de abreviações);
  
• mode - valores possíveis:
  values (padrão) ou keys;
  
• name regexp - descobre apenas valores com nomes que correspondam à expressão regular (padrão - descobre todos os valores). Permitido apenas com values como mode.

Chaves com espaços devem ser colocadas entre aspas duplas.

Exemplos:

registry.get[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,values,"^DisplayName|DisplayVersion$"] #retorna os dados dos valores chamados "DisplayName" ou "DisplayValue" nesta chave.
       O JSON incluirá detalhes da chave, última subchave, nome do valor, tipo do valor e dados do valor.
       registry.get[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,values] #retorna os dados de todos os valores nesta chave.
       O JSON incluirá detalhes da chave, última subchave, nome do valor, tipo do valor e dados do valor.
       registry.get[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,keys] #retorna todas as subchaves desta chave.
       O JSON incluirá detalhes da chave e da última subchave.

service.discovery

A lista de serviços do Windows. Usado para descoberta de baixo nível.
Valor de retorno: objeto JSON.

service.info[service,<param>]

Informações sobre um serviço.
Valor de retorno: Integer - com param como state, startup; String - com param como displayname, path, user; Text - com param como description
Especificamente para state: 0 - em execução, 1 - pausado, 2 - inicialização pendente, 3 - pausa pendente, 4 - continuação pendente, 5 - parada pendente, 6 - parado, 7 - desconhecido, 255 - serviço não existe
Especificamente para startup: 0 - automático, 1 - automático atrasado, 2 - manual, 3 - desabilitado, 4 - desconhecido, 5 - inicialização automática por trigger, 6 - inicialização automática atrasada por trigger, 7 - inicialização manual por trigger

Parâmetros:

• service - nome real do serviço ou seu nome de exibição conforme visto no MMC Services snap-in;
• param - state (padrão), displayname, path, user, startup ou description.

Comentários:

• Items como service.info[service,state] e service.info[service] retornarão a mesma informação;
• Somente com param como state este item retorna um valor para serviços inexistentes (255).

Exemplos:

service.info[SNMPTRAP] - estado do serviço SNMPTRAP;
       service.info[SNMP Trap] - estado do mesmo serviço, mas com o nome de exibição especificado;
       service.info[EventLog,startup] - o tipo de inicialização do serviço EventLog

services[<type>,<state>,<exclude>]

A listagem de serviços.
Valor de retorno: 0 - se vazio; Texto - a lista de serviços separados por uma nova linha.

Parâmetros:

• type - all (padrão), automatic, manual ou disabled;
• state - all (padrão), stopped, started, start_pending, stop_pending, running, continue_pending, pause_pending ou paused;
• exclude - os serviços a serem excluídos do resultado. Os serviços excluídos devem ser listados entre aspas duplas, separados por vírgula, sem espaços.

Exemplos:

services[,started] #retorna a lista de serviços iniciados;
       services[automatic, stopped] #retorna a lista de serviços parados que deveriam estar em execução;
       services[automatic, stopped, "service1,service2,service3"] #retorna a lista de serviços parados que deveriam estar em execução, excluindo os serviços chamados "service1", "service2" e "service3"

vm.vmemory.size[<type>]

O tamanho da memória virtual em bytes ou em porcentagem do total.
Valor de retorno: Integer - para bytes; float - para porcentagem.

Parâmetro:

• type - valores possíveis: available (memória virtual disponível), pavailable (memória virtual disponível, em porcentagem), pused (memória virtual usada, em porcentagem), total (memória virtual total, padrão) ou used (memória virtual usada)

Comentários:

• O monitoramento das estatísticas de memória virtual é baseado em:
  
  • Memória virtual total no Windows (física total + tamanho do arquivo de paginação);
    
  • A quantidade máxima de memória que o agent Zabbix pode comprometer;
    
  • O limite atual de memória comprometida para o sistema ou agent Zabbix, o que for menor.

Exemplo:

vm.vmemory.size[pavailable] #retorna a memória virtual disponível, em porcentagem

wmi.get[<namespace>,<query>]

Executa uma consulta WMI e retorna o primeiro objeto selecionado.
Valor de retorno: Integer, float, string ou text (dependendo da solicitação).

Parâmetros:

• namespace - o namespace WMI;
  
• query - a consulta WMI retornando um único objeto.

As consultas WMI são realizadas com WQL.

Exemplo:

wmi.get[root\cimv2,select status from Win32_DiskDrive where Name like '%PHYSICALDRIVE0%'] #retorna o status do primeiro disco físico

wmi.getall[<namespace>,<query>]

Executa uma consulta WMI e retorna toda a resposta. Pode ser usado para descoberta de baixo nível.
Valor de retorno: objeto JSON

Parâmetros:

• namespace - o namespace WMI;
  
• query - a consulta WMI.

Comentários:

• As consultas WMI são realizadas com WQL.
• O pré-processamento JSONPath pode ser usado para apontar para valores mais específicos no JSON retornado.

Exemplo:

wmi.getall[root\cimv2,select * from Win32_DiskDrive where Name like '%PHYSICALDRIVE%'] #retorna informações de status dos discos físicos

Monitorando serviços do Windows

Este tutorial fornece instruções passo a passo para configurar o monitoramento de serviços do Windows. Pressupõe-se que o server e o agent do Zabbix estejam configurados e operacionais.

Passo 1

Obtenha o nome do serviço.

Você pode obter o nome do serviço acessando o snap-in Serviços do MMC e exibindo as propriedades do serviço. Na guia Geral, você deve ver um campo chamado "Nome do serviço". O valor que aparece é o nome que você usará ao configurar um item para monitoramento. Por exemplo, se você quiser monitorar o serviço "workstation", então seu serviço pode ser: lanmanworkstation.

Passo 2

Configure um item para monitorar o serviço.

O item service.info[service,<param>] recupera informações sobre um serviço específico. Dependendo das informações que você precisa, especifique a opção param, que aceita os seguintes valores: displayname, state, path, user, startup ou description. O valor padrão é state se param não for especificado (service.info[service]).

O tipo de valor de retorno depende do param escolhido: inteiro para state e startup; string de caracteres para displayname, path e user; texto para description.

Exemplo:

• Chave: service.info[lanmanworkstation]
• Tipo de informação: Numérico (sem sinal)

O item service.info[lanmanworkstation] irá recuperar informações sobre o estado do serviço como um valor numérico. Para mapear um valor numérico para uma representação de texto no frontend ("0" como "Running", "1" como "Paused", etc.), você pode configurar o mapeamento de valores no host no qual o item está configurado. Para isso, vincule o template Windows services by Zabbix agent ou Windows services by Zabbix agent active ao host, ou configure no host um novo mapa de valores baseado no mapa de valores Windows service state configurado nos templates mencionados.

Observe que ambos os templates mencionados possuem uma regra de descoberta configurada que irá descobrir serviços automaticamente. Se você não quiser isso, você pode desabilitar a regra de descoberta no nível do host assim que o template for vinculado ao host.

Descoberta de serviços do Windows

A descoberta de baixo nível fornece uma maneira de criar automaticamente items, triggers e gráficos para diferentes entidades em um computador. O Zabbix pode iniciar automaticamente o monitoramento dos serviços do Windows em sua máquina, sem a necessidade de saber o nome exato de um serviço ou criar items para cada serviço manualmente. Um filtro pode ser usado para gerar items, triggers e gráficos reais apenas para os serviços de interesse.