11 Windows notikumu žurnāla uzraudzība, izmantojot aktīvās pārbaudes
Ievads
Šajā ceļvedī ir skaidrots, kā ar Zabbix palīdzību uzraudzīt Windows notikumu žurnālus, izmantojot aktīvās pārbaudes. Izmantojot Zabbix Windows specifiskās vienumu atslēgas, varat reāllaikā vākt un analizēt kritiskus notikumus (piemēram, neveiksmīgus pieteikšanās mēģinājumus, sistēmas kļūdas u.c.).
Kam šis ceļvedis ir paredzēts
Šis ceļvedis ir paredzēts jauniem Zabbix lietotājiem un tīkla administratoriem, kuri vēlas uzraudzīt Windows notikumu žurnālus. Papildu konfigurācijas iespējām skatiet dokumentāciju par Windows specifiskajām vienumu atslēgām.
Priekšnosacījumi
Pirms turpināt darbu ar šo ceļvedi, jums ir jālejupielādē un jāinstalē Zabbix serveris un Zabbix lietotāja saskarne atbilstoši jūsu OS paredzētajām instrukcijām. Jums arī jābūt lejupielādētam un instalētam Zabbix aģentam Windows datorā, kuru vēlaties uzraudzīt.
Konfigurējiet Zabbix aģents Windows notikumu žurnāla uzraudzībai
1. Atveriet zabbix_agentd.conf (noklusējuma ceļš C:\Program Files\Zabbix Agent\zabbix_agentd.conf) savā Windows hostā un pārliecinieties, ka parametrs ServerActive ir iestatīts uz jūsu Zabbix serveris IP adresi un parametrs Hostname atbilst hosta nosaukumam, kas tiks definēts Zabbix lietotāja saskarne. Tas ļauj aģents pieprasīt aktīvās pārbaudes savam hostam no norādītā Zabbix serveris. Piemēram:
ServerActive=192.0.2.0
Hostname=MyWindowsHost2. Restartējiet Zabbix aģents servisu, lai piemērotu izmaiņas:
net stop "Zabbix Agent" && net start "Zabbix Agent"3. Pārbaudiet, vai Windows hosts darbojas:
- Pārliecinieties, ka Zabbix aģents serviss darbojas Windows hostā.
- Pārbaudiet, vai Windows hosts var izveidot savienojumu ar Zabbix serveris 10051. portā. Lai pārbaudītu savienojamību no Windows hosta, atveriet PowerShell un izpildiet šādu komandu:
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051Konfigurējiet Zabbix lietotāja saskarni
1. Dodieties uz Datu vākšana > Hosts un izveidojiet hostu:
- Laukā Host name ievadiet hosta nosaukumu (piemēram, "MyWindowsHost").
- Laukā Host groups ierakstiet vai atlasiet hostu grupu (piemēram, "Event log Monitoring").
- Nospiediet Add, lai saglabātu konfigurēto hostu.
Laukā Templates varat pievienot veidni "Windows by Zabbix aģents active", lai palīdzētu novērst problēmas, novērojot, vai citi aktīvie vienumi tajā pašā hostā tiek atjaunināti.
2. Izveidojiet jaunu vienumu ar šādiem parametriem:
- Laukā Name ievadiet aprakstošu vienuma nosaukumu (piemēram, "Security log: failed logon events").
- Nolaižamajā sarakstā Type atlasiet "Zabbix aģents (active)" (nepieciešams Event log uzraudzībai).
- Laukā Key izmantojiet vienuma atslēgu eventlog. Piemēram, lai uzraudzītu neveiksmīgus pieteikšanās mēģinājumus (Event ID: 4625) Security žurnālā un ignorētu ierakstus, kas ir vecāki par vienuma pēdējo pārbaudi (izmantojot parametru
skip), ievadiet šādu vienuma atslēgu:eventlog[Security,,,,4625,,skip] - Nolaižamajā sarakstā Type of information atlasiet "Log".
3. Noklikšķiniet uz Add, lai saglabātu vienumu.
Pārbaudiet un skatiet savāktos metriku datus
Apsveicam! Zabbix tagad ir iestatīts, lai vāktu jūsu Windows notikumu žurnālus. Lai pārbaudītu, vai notikumu žurnāli tiek vākti, varat pārbaudīt vienumu "Drošības žurnāls: neveiksmīgi pieteikšanās notikumi", izrakstoties no sava Windows konta un mēģinot pieteikties, izmantojot nepareizus akreditācijas datus.
Pēc tam skatiet savāktos žurnālus Zabbix lietotāja saskarnē:
1. Atveriet Monitoring > Latest data Zabbix lietotāja saskarnē.
2. Laukā Name filtrējiet pēc sava hosta "MyWindowsHost".
3. Noklikšķiniet uz History, lai skatītu reģistrētās žurnāla vērtības.
4. Ja žurnāla vērtības nav redzamas, pārejiet uz rokasgrāmatas sadaļu Traucējummeklēšana.
Iestatiet problēmu brīdinājumus
Šajā ceļvedī ir sniegti pamata konfigurācijas soļi e-pasta brīdinājumu sūtīšanai.
1. Dodieties uz Datu ievākšana > Hosti, lai definētu trigeri, kas nostrādā, kad jūsu notikumu žurnāla vienums reģistrē jūs interesējošo šablonu. Piemēram, lai uztvertu neveiksmīgus pieteikšanās mēģinājumus Security žurnālā, izmantojiet funkciju find():
find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")
2. Dodieties uz Lietotāja iestatījumi > Profils, pārslēdzieties uz cilni Mediji un pievienojiet savu e-pastu.
3. Izpildiet ceļvedi Problēmas paziņojuma saņemšana.
Nākamreiz, kad Zabbix konstatēs problēmu, jums vajadzētu saņemt brīdinājumu pa e-pastu.
Problēmu novēršana
Ja rodas problēmas ar Windows notikumu žurnālu vākšanu vai skatīšanu, izmantojiet tālāk sniegtos padomus, lai noteiktu un novērstu biežāk sastopamās problēmas:
1. Zabbix serverī (Linux) uzskaitiet savus iptables noteikumus ar šādu komandu:
sudo iptables -L -nun pārbaudiet, vai ir ACCEPT noteikums TCP portam 10051.
2. Pārliecinieties, ka jūsu eventlog[...] atslēga izmanto precīzu žurnāla nosaukumu (reģistrjutīgs), notikuma ID, režīmu (piemēram, skip) un citus parametrus tieši tā, kā parādīts sadaļā Windows-specific item keys.
Skatiet arī:
- Vienuma izveide - uzziniet, kā pievienot papildu metriku.
- Zabbix aģents Microsoft Windows vidē - detalizētas instalēšanas instrukcijas.
- Windows uzraudzība ar Zabbix aģentu - visaptveroša rokasgrāmata par pamata uzraudzības iestatīšanu Windows datoriem, izmantojot Zabbix aģentu.
- Windows specifiskās vienumu atslēgas - detalizēta informācija par Windows specifiskajām vienumu atslēgām, ko atbalsta Zabbix aģenti, tostarp notikumu žurnāla uzraudzībai paredzētajām atslēgām.
- Žurnālfailu uzraudzība - norādījumi par Zabbix konfigurēšanu centralizētai žurnālfailu uzraudzībai un analīzei, kas attiecas arī uz Windows notikumu žurnāliem.