11 Windows-Ereignisprotokoll mit aktiven Prüfungen überwachen

Einführung

Diese Anleitung erklärt, wie Sie Windows-Ereignisprotokolle mit Zabbix mithilfe aktiver Prüfungen überwachen. Mit den Windows-spezifischen Datenpunktschlüsseln von Zabbix können Sie kritische Ereignisse (wie fehlgeschlagene Anmeldeversuche, Systemfehler usw.) in Echtzeit erfassen und analysieren.

Für wen diese Anleitung gedacht ist

Diese Anleitung richtet sich an neue Zabbix-Benutzer und Netzwerkadministratoren, die Windows-Ereignisprotokolle überwachen möchten. Informationen zu erweiterten Konfigurationsoptionen finden Sie in der Dokumentation zu Windows-spezifischen Datenpunktschlüsseln.

Voraussetzungen

Bevor Sie mit dieser Anleitung fortfahren, müssen Sie Zabbix Server und Zabbix Frontend gemäß den Anweisungen für Ihr Betriebssystem herunterladen und installieren. Außerdem muss Zabbix Agent auf dem Windows-Rechner, den Sie überwachen möchten, heruntergeladen und installiert sein.

Zabbix Agent für die Überwachung des Windows-Ereignisprotokolls konfigurieren

1. Öffnen Sie zabbix_agentd.conf (Standardpfad C:\Program Files\Zabbix Agent\zabbix_agentd.conf) auf Ihrem Windows-Host und stellen Sie sicher, dass der Parameter ServerActive auf die IP-Adresse Ihres Zabbix Server gesetzt ist und der Parameter Hostname mit dem Hostnamen übereinstimmt, der im Zabbix Frontend definiert wird. Dadurch kann der Agent aktive Prüfungen für seinen Host und vom angegebenen Zabbix Server anfordern. Zum Beispiel:

ServerActive=192.0.2.0
Hostname=MyWindowsHost

2. Starten Sie den Zabbix-Agent-Dienst neu, um die Änderungen zu übernehmen:

net stop "Zabbix Agent" && net start "Zabbix Agent"

3. Prüfen Sie, dass der Windows-Host läuft:

  • Stellen Sie sicher, dass der Zabbix-Agent-Dienst auf dem Windows-Host ausgeführt wird.
  • Prüfen Sie, dass der Windows-Host eine Verbindung zum Zabbix Server über Port 10051 herstellen kann. Um die Konnektivität vom Windows-Host aus zu testen, öffnen Sie PowerShell und führen Sie den folgenden Befehl aus:
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051

Zabbix Frontend konfigurieren

1. Navigieren Sie zu Datensammlung > Hosts und erstellen Sie einen Host:

  • Geben Sie im Feld Host name einen Host-Namen ein (z. B. „MyWindowsHost“).
  • Geben Sie im Feld Host groups eine Host-Gruppe ein oder wählen Sie eine aus (z. B. „Event log Monitoring“).
  • Klicken Sie auf Add, um den konfigurierten Host zu speichern.

Im Feld Templates können Sie die Vorlage „Windows by Zabbix Agent active“ hinzufügen, um die Fehlerbehebung zu erleichtern, indem Sie beobachten, ob andere aktive Datenpunkte auf demselben Host aktualisiert werden.

2. Erstellen Sie einen neuen Datenpunkt mit den folgenden Parametern:

  • Geben Sie im Feld Name einen aussagekräftigen Namen für den Datenpunkt ein (z. B. „Security log: failed logon events“).
  • Wählen Sie in der Dropdown-Liste Type „Zabbix Agent (active)“ aus (erforderlich für die Überwachung des Ereignisprotokolls).
  • Verwenden Sie im Feld Key den eventlog-Datenpunktschlüssel. Um beispielsweise fehlgeschlagene Anmeldeversuche (Ereignis-ID: 4625) im Sicherheitsprotokoll zu überwachen und Einträge zu ignorieren, die älter als die letzte Prüfung des Datenpunkts sind (unter Verwendung des Parameters skip), geben Sie den folgenden Datenpunktschlüssel ein: eventlog[Security,,,,4625,,skip]
  • Wählen Sie in der Dropdown-Liste Type of information „Log“ aus.

3. Klicken Sie auf Add, um den Datenpunkt zu speichern.

Gesammelte Metriken testen und anzeigen

Glückwunsch! Zabbix ist jetzt so eingerichtet, dass die Windows-Ereignisprotokolle erfasst werden. Um zu überprüfen, ob Ereignisprotokolle erfasst werden, können Sie den Datenpunkt „Security log: failed logon events“ testen, indem Sie sich von Ihrem Windows-Konto abmelden und anschließend versuchen, sich mit falschen Anmeldedaten anzumelden.

Anschließend können Sie die gesammelten Protokolle im Zabbix Frontend anzeigen:

1. Navigieren Sie im Zabbix Frontend zu Monitoring > Latest data.

2. Filtern Sie im Feld Name nach Ihrem Host „MyWindowsHost“.

3. Klicken Sie auf History, um die aufgezeichneten Protokollwerte anzuzeigen.

4. Wenn keine Protokollwerte vorhanden sind, fahren Sie mit dem Abschnitt Fehlerbehebung in dieser Anleitung fort.

Problembenachrichtigungen einrichten

Diese Anleitung enthält grundlegende Konfigurationsschritte zum Senden von E-Mail-Benachrichtigungen.

1. Navigieren Sie zu Datensammlung > Hosts, um einen Auslöser zu definieren, der ausgelöst wird, wenn Ihr Ereignisprotokoll-Datenpunkt das gewünschte Muster erfasst. Um beispielsweise fehlgeschlagene Anmeldeversuche im Sicherheitsprotokoll zu erkennen, verwenden Sie die Funktion find():

find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")

2. Navigieren Sie zu Benutzereinstellungen > Profil, wechseln Sie zur Registerkarte Medien und fügen Sie Ihre E-Mail-Adresse hinzu.

3. Folgen Sie der Anleitung für Empfangen einer Problembenachrichtigung.

Wenn Zabbix das nächste Mal ein Problem erkennt, sollten Sie eine Benachrichtigung per E-Mail erhalten.

Fehlerbehebung

Wenn bei der Erfassung oder Anzeige von Windows-Ereignisprotokollen Probleme auftreten, verwenden Sie die folgenden Tipps, um häufige Probleme zu identifizieren und zu beheben:

1. Listen Sie auf dem Zabbix Server (Linux) Ihre iptables-Regeln mit dem folgenden Befehl auf:

sudo iptables -L -n

und vergewissern Sie sich, dass es eine ACCEPT-Regel für den TCP-Port 10051 gibt.

2. Stellen Sie sicher, dass Ihr eventlog[...]-Schlüssel genau den Protokollnamen (Groß-/Kleinschreibung beachten), die Ereignis-ID, den Modus (z. B. skip) und andere Parameter verwendet, genau wie unter Windows-spezifische Datenpunktschlüssel angegeben.

Siehe auch: