Se encuentra viendo la documentación de la versión en desarrollo, puede estar incompleta.
Esta página fue traducida automáticamente. Si detectas un error, selecciónalo y presiona Ctrl+Enter para informarlo a los editores.

11 Monitorizar el registro de eventos de Windows utilizando comprobaciones activas

Introducción

Esta guía explica cómo monitorizar los registros de eventos de Windows con Zabbix utilizando comprobaciones activas. Con las claves de métricas específicas de Windows en Zabbix, puede recopilar y analizar eventos críticos (como intentos fallidos de inicio de sesión, errores del sistema, etc.) en tiempo real.

A quién va dirigida esta guía

Esta guía está diseñada para nuevos usuarios de Zabbix y administradores de red que deseen monitorizar los registros de eventos de Windows. Para opciones de configuración avanzadas, consulte la documentación de claves de métricas específicas de Windows.

Requisitos previos

Antes de continuar con esta guía, debe descargar e instalar el servidor Zabbix y el frontend de Zabbix según las instrucciones para su sistema operativo. También necesita tener el agente Zabbix descargado e instalado en la máquina Windows que desea monitorizar.

Configurar el agente Zabbix para la monitorización del registro de eventos de Windows

1. Abra zabbix_agentd.conf (ruta por defecto C:\Program Files\Zabbix Agent\zabbix_agentd.conf) en su equipo Windows y asegúrese de que el parámetro ServerActive esté configurado con la dirección IP de su servidor Zabbix, y que el parámetro Hostname coincida con el nombre del equipo que se definirá en el frontend de Zabbix. Esto permite que el agente solicite comprobaciones activas para su equipo y desde el servidor Zabbix especificado. Por ejemplo:

ServerActive=192.0.2.0
       Hostname=MyWindowsHost

2. Reinicie el servicio del agente Zabbix para aplicar los cambios:

net stop "Zabbix Agent" && net start "Zabbix Agent"

3. Compruebe que el equipo Windows está en funcionamiento:

  • Asegúrese de que el servicio del agente Zabbix se está ejecutando en el equipo Windows.
  • Compruebe que el equipo Windows puede conectarse al servidor Zabbix en el puerto 10051. Para probar la conectividad desde el equipo Windows, abra PowerShell y ejecute el siguiente comando:
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051

Configurar la interfaz web de Zabbix

1. Navegue a Recopilación de datos > Equipos y cree un equipo:

  • En el campo Nombre del equipo, introduzca un nombre de equipo (por ejemplo, "MiEquipoWindows").
  • En el campo Grupos de equipos, escriba o seleccione un grupo de equipos (por ejemplo, "Supervisión de registro de eventos").
  • Pulse Añadir para guardar el equipo configurado.

En el campo Plantillas puede añadir la plantilla "Windows by Zabbix agent active" para ayudarle a solucionar problemas observando si otras métricas activas en el mismo equipo se están actualizando.

2. Cree una nueva métrica con los siguientes parámetros:

  • En el campo Nombre, introduzca un nombre descriptivo para la métrica (por ejemplo, "Registro de seguridad: eventos de inicio de sesión fallidos").
  • En el desplegable Tipo, seleccione "Zabbix agent (active)" (requerido para la supervisión de registros de eventos).
  • En el campo Clave, utilice la clave de métrica eventlog. Por ejemplo, para supervisar los intentos de inicio de sesión fallidos (ID de evento: 4625) en el registro de Seguridad e ignorar las entradas anteriores a la última comprobación de la métrica (utilizando el parámetro skip), introduzca la siguiente clave de métrica: eventlog[Security,,,,4625,,skip]
  • En el desplegable Tipo de información, seleccione "Log".

3. Haga clic en Añadir para guardar la métrica.

Pruebe y vea las métricas recopiladas

¡Felicidades! Zabbix está ahora configurado para recopilar los registros de eventos de Windows. Para verificar que los registros de eventos se están recopilando, puede probar la métrica "Security log: failed logon events" cerrando la sesión de su cuenta de Windows e intentando iniciar sesión utilizando credenciales incorrectas.

Luego, vea los registros recopilados en el frontend de Zabbix:

1. Navegue a Supervisión > Últimos datos en el frontend de Zabbix.

2. Filtre por su equipo "MyWindowsHost" en el campo Nombre.

3. Haga clic en Historial para ver los valores de registro almacenados.

4. Si los valores de registro están ausentes, continúe con la sección Solución de problemas de la guía.

Configurar alertas de problema

Esta guía proporciona los pasos básicos de configuración para enviar alertas por correo electrónico.

1. Navegue a Recopilación de datos > Equipos para definir un disparador que se active cuando su métrica de registro de eventos registre el patrón que le interesa. Por ejemplo, para detectar intentos fallidos de inicio de sesión en el registro de Seguridad, utilice la función find():

find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")

2. Navegue a Configuración de usuario > Perfil, cambie a la pestaña Medios y agregue su correo electrónico.

3. Siga la guía para Recibir una notificación de problema.

La próxima vez que Zabbix detecte un problema, debería recibir una alerta por correo electrónico.

Solución de problemas

Si encuentra problemas al recopilar o visualizar registros de eventos de Windows, utilice los siguientes consejos para identificar y resolver problemas comunes:

1. En el servidor Zabbix (Linux), liste sus reglas de iptables con el siguiente comando:

sudo iptables -L -n

y verifique que exista una regla ACCEPT para el puerto TCP 10051.

2. Asegúrese de que su clave eventlog[...] utilice el nombre exacto del registro (sensible a mayúsculas y minúsculas), el ID de evento, el modo (por ejemplo, skip) y otros parámetros exactamente como se muestra en las claves de métricas específicas de Windows.

Ver también: