11 Windows notikumu žurnāla uzraudzība, izmantojot aktīvās pārbaudes
Ievads
Šajā ceļvedī ir skaidrots, kā ar Zabbix palīdzību uzraudzīt Windows notikumu žurnālus, izmantojot aktīvās pārbaudes. Izmantojot Zabbix Windows specifiskās vienumu atslēgas, varat reāllaikā vākt un analizēt kritiskus notikumus (piemēram, neveiksmīgus pieteikšanās mēģinājumus, sistēmas kļūdas u.c.).
Kam šis ceļvedis ir paredzēts
Šis ceļvedis ir paredzēts jauniem Zabbix lietotājiem un tīkla administratoriem, kuri vēlas uzraudzīt Windows notikumu žurnālus. Papildu konfigurācijas iespējām skatiet dokumentāciju par Windows specifiskajām vienumu atslēgām.
Priekšnosacījumi
Pirms turpināt darbu ar šo ceļvedi, jums ir jālejupielādē un jāinstalē Zabbix serveris un Zabbix lietotāja saskarne atbilstoši jūsu OS paredzētajām instrukcijām. Jums arī jābūt lejupielādētam un instalētam Zabbix aģentam Windows datorā, kuru vēlaties uzraudzīt.
Konfigurējiet Zabbix aģentu Windows notikumu žurnāla uzraudzībai
1. Atveriet zabbix_agentd.conf (noklusējuma ceļš C:\Program Files\Zabbix Agent\zabbix_agentd.conf) savā Windows hostā un pārliecinieties, ka parametrs ServerActive ir iestatīts uz jūsu Zabbix servera IP adresi, bet parametrs Hostname atbilst hosta nosaukumam, kas tiks definēts Zabbix lietotāja saskarne. Tas ļauj aģentam pieprasīt aktīvās pārbaudes savam hostam no norādītā Zabbix servera. Piemēram:
ServerActive=192.0.2.1
Hostname=MyWindowsHost2. Restartējiet Zabbix aģenta pakalpojumu, lai piemērotu izmaiņas:
net stop "Zabbix Agent" && net start "Zabbix Agent"3. Pārbaudiet, vai Windows hosts darbojas:
- Pārliecinieties, ka Zabbix aģenta pakalpojums darbojas Windows hostā.
- Pārbaudiet, vai Windows hosts var izveidot savienojumu ar Zabbix serveri 10051. portā. Lai pārbaudītu savienojumu no Windows hosta, atveriet PowerShell un izpildiet šādu komandu:
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051Konfigurēt Zabbix lietotāja saskarni
1. Dodieties uz Data collection > Hosts un izveidojiet hostu:
- Laukā Host name ievadiet hosta nosaukumu (piem., "MyWindowsHost").
- Laukā Host groups ievadiet vai atlasiet hostu grupu (piem., "Event log Monitoring").
- Noklikšķiniet Add, lai saglabātu konfigurēto hostu.
Laukā Templates varat pievienot veidni "Windows by Zabbix agent active", lai palīdzētu novērst problēmas, novērojot, vai citi aktīvie vienumi tajā pašā hostā tiek atjaunināti.
2. Izveidojiet jaunu vienumu ar šādiem parametriem:
- Laukā Name ievadiet aprakstošu vienuma nosaukumu (piem., "Security log: failed logon events").
- Nolaižamajā sarakstā Type atlasiet "Zabbix agent (active)" (nepieciešams Event log monitoring).
- Laukā Key izmantojiet eventlog vienuma atslēgu. Piemēram, lai uzraudzītu neveiksmīgus pieteikšanās mēģinājumus (Event ID: 4625) Security žurnālā un ignorētu ierakstus, kas ir vecāki par vienuma pēdējo pārbaudi (izmantojot parametru
skip), ievadiet šādu vienuma atslēgu:eventlog[Security,,,,4625,,skip] - Nolaižamajā sarakstā Type of information atlasiet "Log".
3. Noklikšķiniet Add, lai saglabātu vienumu.
Pārbaudiet un skatiet savāktos metriku datus
Apsveicam! Zabbix tagad ir iestatīts, lai vāktu jūsu Windows notikumu žurnālus. Lai pārbaudītu, vai notikumu žurnāli tiek vākti, varat pārbaudīt vienumu "Drošības žurnāls: neveiksmīgi pieteikšanās notikumi", izrakstoties no sava Windows konta un mēģinot pieteikties, izmantojot nepareizus akreditācijas datus.
Pēc tam skatiet savāktos žurnālus Zabbix lietotāja saskarnē:
1. Atveriet Monitoring > Latest data Zabbix lietotāja saskarnē.
2. Laukā Name filtrējiet pēc sava hosta "MyWindowsHost".
3. Noklikšķiniet uz History, lai skatītu reģistrētās žurnāla vērtības.
4. Ja žurnāla vērtības nav redzamas, pārejiet uz rokasgrāmatas sadaļu Traucējummeklēšana.
Iestatiet problēmu brīdinājumus
Šajā ceļvedī ir sniegti pamata konfigurācijas soļi e-pasta brīdinājumu sūtīšanai.
1. Dodieties uz Datu ievākšana > Hosti, lai definētu trigeri, kas nostrādā, kad jūsu notikumu žurnāla vienums reģistrē jūs interesējošo šablonu. Piemēram, lai uztvertu neveiksmīgus pieteikšanās mēģinājumus Security žurnālā, izmantojiet funkciju find():
find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")
2. Dodieties uz Lietotāja iestatījumi > Profils, pārslēdzieties uz cilni Mediji un pievienojiet savu e-pastu.
3. Izpildiet ceļvedi Problēmas paziņojuma saņemšana.
Nākamreiz, kad Zabbix konstatēs problēmu, jums vajadzētu saņemt brīdinājumu pa e-pastu.
Problēmu novēršana
Ja rodas problēmas ar Windows notikumu žurnālu vākšanu vai skatīšanu, izmantojiet tālāk sniegtos padomus, lai noteiktu un novērstu biežāk sastopamās problēmas:
1. Zabbix serverī (Linux) uzskaitiet savus iptables noteikumus ar šādu komandu:
sudo iptables -L -nun pārbaudiet, vai ir ACCEPT noteikums TCP portam 10051.
2. Pārliecinieties, ka jūsu eventlog[...] atslēga izmanto precīzu žurnāla nosaukumu (reģistrjutīgs), notikuma ID, režīmu (piemēram, skip) un citus parametrus tieši tā, kā parādīts sadaļā Windows-specific item keys.
Skatīt arī:
- Vienuma izveide - uzziniet, kā pievienot papildu metriku.
- Zabbix aģents Microsoft Windows vidē - detalizētas instalēšanas instrukcijas.
- Windows uzraudzība ar Zabbix aģentu - visaptverošs ceļvedis par pamata uzraudzības iestatīšanu Windows datoriem, izmantojot Zabbix aģentu.
- Windows specifiskās vienumu atslēgas - detalizēta informācija par Windows specifiskajām vienumu atslēgām, ko atbalsta Zabbix aģenti, tostarp notikumu žurnālu uzraudzībai.
- Žurnālfailu uzraudzība - norādījumi par Zabbix konfigurēšanu centralizētai žurnālfailu uzraudzībai un analīzei, kas attiecas arī uz Windows notikumu žurnāliem.