11 Surveiller le journal des événements Windows à l’aide de contrôles actifs

Introduction

Ce guide explique comment surveiller les journaux d’événements Windows avec Zabbix à l’aide de contrôles actifs. Grâce aux clés d’élément spécifiques à Windows de Zabbix, vous pouvez collecter et analyser les événements critiques (tels que les tentatives de connexion échouées, les erreurs système, etc.) en temps réel.

À qui s’adresse ce guide

Ce guide est conçu pour les nouveaux utilisateurs de Zabbix et les administrateurs réseau qui souhaitent surveiller les journaux d’événements Windows. Pour les options de configuration avancées, consultez la documentation sur les clés d’élément spécifiques à Windows.

Prérequis

Avant de poursuivre avec ce guide, vous devez télécharger et installer Zabbix server et Zabbix frontend conformément aux instructions correspondant à votre système d’exploitation. Vous devez également avoir Zabbix agent téléchargé et installé sur la machine Windows que vous souhaitez surveiller.

Configurer l'agent Zabbix pour la surveillance du journal des événements Windows

1. Ouvrez zabbix_agentd.conf (chemin par défaut : C:\Program Files\Zabbix Agent\zabbix_agentd.conf) sur votre hôte Windows et assurez-vous que le paramètre ServerActive est défini sur l'adresse IP de votre serveur Zabbix, et que le paramètre Hostname correspond au nom d'hôte qui sera défini dans le frontend Zabbix. Cela permet à l'agent de demander des contrôles actifs pour son hôte et depuis le serveur Zabbix spécifié. Par exemple :

ServerActive=192.0.2.0
Hostname=MyWindowsHost

2. Redémarrez le service de l'agent Zabbix pour appliquer les modifications :

net stop "Zabbix Agent" && net start "Zabbix Agent"

3. Vérifiez que l'hôte Windows est en cours d'exécution :

• Assurez-vous que le service de l'agent Zabbix est en cours d'exécution sur l'hôte Windows.
• Vérifiez que l'hôte Windows peut se connecter au serveur Zabbix sur le port 10051. Pour tester la connectivité depuis l'hôte Windows, ouvrez PowerShell et exécutez la commande suivante :

Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051

Configurer le frontend Zabbix

1. Accédez à Collecte de données > Hôtes et créez un hôte :

• Dans le champ Nom de l'hôte, saisissez un nom d'hôte (par exemple, "MyWindowsHost").
• Dans le champ Groupes d'hôtes, saisissez ou sélectionnez un groupe d'hôtes (par exemple, "Event log Monitoring").
• Appuyez sur Ajouter pour enregistrer l'hôte configuré.

2. Créez un nouvel élément avec les paramètres suivants :

• Dans le champ Nom, saisissez un nom d'élément descriptif (par exemple, "Security log: failed logon events").
• Dans la liste déroulante Type, sélectionnez "Zabbix agent (active)" (requis pour la surveillance du journal des événements).
• Dans le champ Clé, utilisez la clé d'élément eventlog. Par exemple, pour surveiller les tentatives de connexion échouées (ID d'événement : 4625) dans le journal Security et ignorer les entrées plus anciennes que la dernière vérification de l'élément (à l'aide du paramètre skip), saisissez la clé d'élément suivante : eventlog[Security,,,,4625,,skip]
• Dans la liste déroulante Type d'information, sélectionnez "Log".

3. Cliquez sur Ajouter pour enregistrer l'élément.

Tester et afficher les métriques collectées

Félicitations ! Zabbix est maintenant configuré pour collecter vos journaux d’événements Windows. Pour vérifier que les journaux d’événements sont bien collectés, vous pouvez tester l’élément « Security log: failed logon events » en vous déconnectant de votre compte Windows puis en tentant de vous reconnecter avec des identifiants incorrects.

Ensuite, affichez les journaux collectés dans le frontend Zabbix :

1. Accédez à Monitoring > Latest data dans le frontend Zabbix.

2. Filtrez par votre hôte « MyWindowsHost » dans le champ Name.

3. Cliquez sur History pour afficher les valeurs de journal enregistrées.

4. Si aucune valeur de journal n’est affichée, passez à la section Dépannage du guide.

Configurer les alertes de problème

Ce guide présente les étapes de configuration de base pour l’envoi d’alertes par e-mail.

1. Accédez à Data collection > Hosts pour définir un déclencheur qui se déclenche lorsque votre élément de journal des événements enregistre le modèle qui vous intéresse. Par exemple, pour détecter les tentatives de connexion échouées dans le journal Security, utilisez la fonction find() :

find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")

2. Accédez à User settings > Profile, ouvrez l’onglet Media et ajoutez votre adresse e-mail.

3. Suivez le guide Recevoir une notification de problème.

La prochaine fois que Zabbix détectera un problème, vous devriez recevoir une alerte par e-mail.

Dépannage

Si vous rencontrez des problèmes lors de la collecte ou de l’affichage des journaux d’événements Windows, utilisez les conseils ci-dessous pour identifier et résoudre les problèmes courants :

1. Sur le serveur Zabbix (Linux), listez vos règles iptables avec la commande suivante :

sudo iptables -L -n

et vérifiez qu’il existe une règle ACCEPT pour le port TCP 10051.

2. Assurez-vous que votre clé eventlog[...] utilise exactement le nom du journal (sensible à la casse), l’ID d’événement, le mode (par ex. skip) et les autres paramètres exactement comme indiqué dans les clés d’élément spécifiques à Windows.

Voir aussi :

• Création d’un élément - découvrez comment ajouter des métriques supplémentaires.
• Agent Zabbix sur Microsoft Windows - instructions d’installation détaillées.
• Surveiller Windows avec l’agent Zabbix - guide complet pour configurer une surveillance de base des machines Windows à l’aide de l’agent Zabbix.
• Clés d’élément spécifiques à Windows - informations détaillées sur les clés d’élément spécifiques à Windows prises en charge par les agents Zabbix, y compris celles destinées à la surveillance du journal des événements.
• Surveillance des fichiers journaux - instructions pour configurer Zabbix afin d’assurer une surveillance centralisée et une analyse des fichiers journaux, applicable aux journaux des événements Windows.