2 Windows agent Zabbix

Przegląd

Pozycje agenta Zabbix dla systemu Windows są przedstawione na dwóch listach:

• Pozycje współdzielone — klucze pozycji współdzielone z agentem Zabbix dla systemów UNIX;
• Pozycje specyficzne dla Windows — klucze pozycji obsługiwane tylko w systemie Windows.

Należy pamiętać, że wszystkie klucze pozycji obsługiwane przez agent Zabbix w systemie Windows są również obsługiwane przez nowej generacji agent Zabbix 2. Zobacz dodatkowe klucze pozycji, których można używać wyłącznie z agentem 2.

Zobacz także: Minimalne uprawnienia dla pozycji Windows

Wspólne pozycje

Poniższa tabela zawiera pozycje agenta Zabbix, które są obsługiwane w systemie Windows i są współdzielone z agentem Zabbix dla systemów UNIX:

• Klucz pozycji jest linkiem do pełnych informacji o pozycji agenta Zabbix dla systemów UNIX
• Uwzględniono komentarze do pozycji istotne dla systemu Windows

Pozycje specyficzne dla systemu Windows

Tabela zawiera szczegółowe informacje o kluczach pozycji, które są obsługiwane wyłącznie przez agenta Zabbix dla systemu Windows.

Pozycje specyficzne dla systemu Windows są czasami przybliżonym odpowiednikiem podobnej pozycji agenta, na przykład proc_info, obsługiwana w systemie Windows, w przybliżeniu odpowiada pozycji proc.mem, nieobsługiwanej w systemie Windows.

Klucz pozycji jest łączem do pełnych informacji o kluczu pozycji.

Szczegóły klucza pozycji

Parametry bez nawiasów ostrych są obowiązkowe. Parametry oznaczone nawiasami ostrymi < > są opcjonalne.

eventlog[name,<regexp>,<severity>,<source>,<eventid>,<maxlines>,<mode>]

Monitorowanie dziennika zdarzeń.
Zwracana wartość: Log.

Parametry:

• name - nazwa kanału dziennika zdarzeń (Log Name w GUI Podglądu zdarzeń);
  
• regexp - wyrażenie regularne opisujące wymagany wzorzec (z uwzględnieniem wielkości liter);
  
• severity - wyrażenie regularne opisujące poziom ważności (bez uwzględniania wielkości liter). Ten parametr akceptuje wyrażenie regularne oparte na następujących wartościach: "Information", "Warning", "Error", "Critical", "Verbose" (w systemie Windows Vista lub nowszym).
  
• source - wyrażenie regularne opisujące identyfikator źródła (bez uwzględniania wielkości liter);
  
• eventid - wyrażenie regularne opisujące identyfikator(y) zdarzeń (z uwzględnieniem wielkości liter);
  
• maxlines - maksymalna liczba nowych wierszy na sekundę, które agent wyśle do serwer lub proxy Zabbix. Ten parametr zastępuje wartość 'MaxLinesPerSecond' w zabbix_agentd.conf.
  
• mode - możliwe wartości: all (domyślnie) lub skip - pomija przetwarzanie starszych danych (dotyczy tylko nowo utworzonych pozycji).

Uwagi:

• Pozycja musi być skonfigurowana jako sprawdzenie aktywne;
• agent nie może wysyłać zdarzeń z dziennika "Forwarded events";
• Obsługiwany jest Windows Eventing 6.0;
• Wybranie dla tej pozycji typu informacji innego niż Log type of information spowoduje utratę lokalnego znacznika czasu, a także informacji o ważności i źródle dziennika;
• Zobacz także dodatkowe informacje o monitorowaniu logów.

Przykłady:

eventlog[Application]
eventlog[Microsoft-Windows-Application-Experience/Program-Compatibility-Assistant]
eventlog[Security,,"Failure Audit",,^(529|680)$]
eventlog[System,,"Warning|Error"]
eventlog[System,,,,^1$]
eventlog[Windows PowerShell,,,,,,skip]
eventlog[System,,,,@TWOSHORT] #tutaj odwołano się do niestandardowego wyrażenia regularnego o nazwie `TWOSHORT` (zdefiniowanego jako typ *Result is TRUE*, przy czym samo wyrażenie ma postać `^1$|^70$`).

eventlog.count[name,<regexp>,<severity>,<source>,<eventid>,<maxproclines>,<mode>]

Liczba wierszy w dzienniku zdarzeń systemu Windows.
Zwracana wartość: Integer.

Parametry:

• name - nazwa kanału dziennika zdarzeń (Log Name w GUI Podglądu zdarzeń);
  
• regexp - regularne wyrażenie opisujące wymagany wzorzec (z uwzględnieniem wielkości liter);
  
• severity - wyrażenie regularne opisujące poziom ważności (bez uwzględniania wielkości liter). Ten parametr akceptuje wyrażenie regularne oparte na następujących wartościach: "Information", "Warning", "Error", "Critical", "Verbose" (w systemie Windows Vista lub nowszym).
  
• source - wyrażenie regularne opisujące identyfikator źródła (bez uwzględniania wielkości liter);
  
• eventid - wyrażenie regularne opisujące identyfikator(y) zdarzeń (z uwzględnieniem wielkości liter);
  
• maxproclines - maksymalna liczba nowych wierszy na sekundę, które agent będzie analizował (nie może przekraczać 10000). Wartość domyślna to 10*'MaxLinesPerSecond' w zabbix_agentd.conf.
  
• mode - możliwe wartości: all (domyślnie) lub skip - pominięcie przetwarzania starszych danych (dotyczy tylko nowo utworzonych pozycji).

Uwagi:

• Pozycja musi być skonfigurowana jako active check;
• agent nie może wysyłać zdarzeń z dziennika "Forwarded events";
• Obsługiwany jest Windows Eventing 6.0;
• Wybranie typu informacji innego niż Log dla tej pozycji spowoduje utratę lokalnego znacznika czasu, a także informacji o poziomie ważności i źródle dziennika;
• Zobacz także dodatkowe informacje o monitorowaniu logów.

Przykłady:

eventlog.count[System,,"Warning|Error"]
eventlog.count[Windows PowerShell,,,,,,skip]

net.if.list

Lista interfejsów sieciowych (zawiera typ interfejsu, status, adres IPv4, opis).
Zwracana wartość: Tekst.

Uwagi:

• Obsługiwane są nazwy interfejsów wielobajtowych;
• Wyłączone interfejsy nie są wyświetlane;
• Włączanie/wyłączanie niektórych komponentów może zmienić ich kolejność w nazwie interfejsu systemu Windows;
• Niektóre wersje systemu Windows (na przykład Server 2008) mogą wymagać zainstalowania najnowszych aktualizacji, aby obsługiwać znaki spoza ASCII w nazwach interfejsów.

perf_counter[counter,<interval>]

Wartość dowolnego licznika wydajności systemu Windows.
Zwracana wartość: Integer, float, string lub text (w zależności od żądania).

Parametry:

• counter — ścieżka do licznika;
  
• interval — ostatnie N sekund do przechowywania wartości średniej. interval musi mieścić się w zakresie od 1 do 900 sekund (włącznie), a wartość domyślna to 1.

Uwagi:

• Ta pozycja obsługuje ścieżki UNC, co może stanowić zagrożenie bezpieczeństwa;
• interval jest używany dla liczników wymagających więcej niż jednej próbki (takich jak wykorzystanie CPU), dlatego sprawdzenie za każdym razem zwraca wartość średnią z ostatnich „interval” sekund;
• Do uzyskania listy dostępnych liczników można użyć Monitora wydajności.
• Zobacz także: Liczniki wydajności systemu Windows.

perf_counter_en[counter,<interval>]

Wartość dowolnego licznika wydajności systemu Windows w języku angielskim.
Zwracana wartość: Integer, float, string lub text (w zależności od żądania).

Parametry:

• counter — ścieżka do licznika w języku angielskim;
  
• interval — ostatnie N sekund do przechowywania wartości średniej. Wartość interval musi mieścić się w zakresie od 1 do 900 sekund (włącznie), a wartość domyślna to 1.

Uwagi:

• Ta pozycja obsługuje ścieżki UNC, co może stanowić zagrożenie bezpieczeństwa;
• interval jest używany dla liczników wymagających więcej niż jednej próbki (takich jak użycie CPU), dlatego sprawdzenie za każdym razem zwraca wartość średnią z ostatnich „interval” sekund;
• Ta pozycja jest obsługiwana tylko w systemach Windows Server 2008/Vista i nowszych;
• Listę angielskich ciągów można znaleźć, przeglądając następujący klucz rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\009.

perf_instance.discovery[object]

Lista instancji obiektów liczników wydajności systemu Windows. Używana do odkrywania niskiego poziomu.
Zwracana wartość: obiekt JSON.

Parametr:

• object — nazwa obiektu (zlokalizowana).

perf_instance_en.discovery[object]

Lista instancji obiektów liczników wydajności systemu Windows, wykrywanych przy użyciu nazw obiektów w języku angielskim. Używane do odkrywania niskiego poziomu.
Zwracana wartość: obiekt JSON.

Parametr:

• object - nazwa obiektu (w języku angielskim).

proc_info[process,<attribute>,<type>]

Różne informacje o określonym procesie(-ach).
Wartość zwracana: Float.

Parametry:

• process — nazwa procesu;
  
• attribute — żądany atrybut procesu;
  
• type — typ reprezentacji (ma znaczenie, gdy istnieje więcej niż jeden proces o tej samej nazwie)

Uwagi:

• Obsługiwane są następujące attributes:
  vmsize (domyślnie) — rozmiar pamięci wirtualnej procesu w KB
  wkset — rozmiar zestawu roboczego procesu (ilość pamięci fizycznej używanej przez proces) w KB
  pf — liczba błędów strony
  ktime — czas jądra procesu w milisekundach
  utime — czas użytkownika procesu w milisekundach
  io_read_b — liczba bajtów odczytanych przez proces podczas operacji wejścia/wyjścia
  io_read_op — liczba operacji odczytu wykonanych przez proces
  io_write_b — liczba bajtów zapisanych przez proces podczas operacji wejścia/wyjścia
  io_write_op — liczba operacji zapisu wykonanych przez proces
  io_other_b — liczba bajtów przesłanych przez proces podczas operacji innych niż odczyt i zapis
  io_other_op — liczba operacji wejścia/wyjścia wykonanych przez proces, innych niż odczyt i zapis
  gdiobj — liczba obiektów GDI używanych przez proces
  userobj — liczba obiektów USER używanych przez proces;
  
• Prawidłowe types to:
  avg (domyślnie) — wartość średnia dla wszystkich procesów o nazwie <process>
  min — wartość minimalna spośród wszystkich procesów o nazwie <process>
  max — wartość maksymalna spośród wszystkich procesów o nazwie <process>
  sum — suma wartości dla wszystkich procesów o nazwie <process>;
• W systemie 64-bitowym do poprawnego działania tej pozycji wymagany jest 64-bitowy agent Zabbix.
  

Przykłady:

proc_info[iexplore.exe,wkset,sum] #pobierz ilość pamięci fizycznej zajmowanej przez wszystkie procesy Internet Explorer
proc_info[iexplore.exe,pf,avg] #pobierz średnią liczbę błędów strony dla procesów Internet Explorer

registry.data[key,<value name>]

Zwraca dane dla określonej nazwy wartości w kluczu Rejestru Windows.
Zwracana wartość: Integer, string lub text (w zależności od typu wartości)

Parametry:

• key - klucz rejestru wraz z kluczem głównym; dozwolone są skróty kluczy głównych (np. HKLM);
• value name - nazwa wartości rejestru w kluczu (domyślnie pusty ciąg ""); Jeśli nazwa wartości nie zostanie podana, zwracana jest wartość domyślna.

Uwagi:

• Obsługiwane skróty kluczy głównych:
  HKCR - HKEY_CLASSES_ROOT
  HKCC - HKEY_CURRENT_CONFIG
  HKCU - HKEY_CURRENT_USER
  HKCULS - HKEY_CURRENT_USER_LOCAL_SETTINGS
  HKLM - HKEY_LOCAL_MACHINE
  HKPD - HKEY_PERFORMANCE_DATA
  HKPN - HKEY_PERFORMANCE_NLSTEXT
  HKPT - HKEY_PERFORMANCE_TEXT
  HKU - HKEY_USERS
  
• Klucze zawierające spacje muszą być ujęte w podwójny cudzysłów.

Przykłady:

registry.data["HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting"] #zwraca dane wartości domyślnej tego klucza
registry.data["HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting","EnableZip"] #zwraca dane wartości o nazwie "Enable Zip" w tym kluczu

registry.get[key,<mode>,<name regexp>]

Lista wartości lub kluczy Rejestru Windows znajdujących się w podanym kluczu.
Zwracana wartość: obiekt JSON.

Parametry:

• key - klucz rejestru wraz z kluczem głównym; dozwolone są skróty kluczy głównych (np. HKLM) (pełną listę skrótów można znaleźć w komentarzach dla registry.data[]);
  
• mode - możliwe wartości:
  values (domyślnie) lub keys;
  
• name regexp - wykrywaj tylko wartości, których nazwy pasują do wyrażenia regularnego (domyślnie - wykrywane są wszystkie wartości). Dozwolone tylko z values jako mode.

Klucze zawierające spacje muszą być ujęte w podwójny cudzysłów.

Przykłady:

registry.get[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,values,"^DisplayName|DisplayVersion$"] #zwraca dane wartości o nazwach "DisplayName" lub "DisplayValue" w tym kluczu.
JSON będzie zawierał szczegóły klucza, ostatniego podklucza, nazwy wartości, typu wartości i danych wartości.
registry.get[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,values] #zwraca dane wszystkich wartości w tym kluczu.
JSON będzie zawierał szczegóły klucza, ostatniego podklucza, nazwy wartości, typu wartości i danych wartości.
registry.get[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,keys] #zwraca wszystkie podklucze tego klucza.
JSON będzie zawierał szczegóły klucza i ostatniego podklucza.

service.discovery

Lista usług Windows. Używana do odkrywania niskiego poziomu.
Zwracana wartość: obiekt JSON.

service.info[service,<param>]

Informacje o usłudze.
Wartość zwracana: Integer - gdy param to state, startup; String - gdy param to displayname, path, user; Text - gdy param to description
Dokładnie dla state: 0 - uruchomiona, 1 - wstrzymana, 2 - oczekiwanie na uruchomienie, 3 - oczekiwanie na wstrzymanie, 4 - oczekiwanie na wznowienie, 5 - oczekiwanie na zatrzymanie, 6 - zatrzymana, 7 - nieznany, 255 - brak takiej usługi
Dokładnie dla startup: 0 - automatyczny, 1 - automatyczny opóźniony, 2 - ręczny, 3 - wyłączony, 4 - nieznany, 5 - automatyczny start wyzwalany, 6 - automatyczny opóźniony start wyzwalany, 7 - ręczny start wyzwalany

Parametry:

• service - rzeczywista nazwa usługi lub jej nazwa wyświetlana widoczna w przystawce MMC Services;
• param - state (domyślnie), displayname, path, user, startup lub description.

Uwagi:

• Pozycje takie jak service.info[service,state] i service.info[service] zwrócą te same informacje;
• Tylko gdy param to state, ta pozycja zwraca wartość dla nieistniejących usług (255).

Przykłady:

service.info[SNMPTRAP] - stan usługi SNMPTRAP;
service.info[SNMP Trap] - stan tej samej usługi, ale z podaną nazwą wyświetlaną;
service.info[EventLog,startup] - typ uruchamiania usługi EventLog

services[<type>,<state>,<exclude>]

Lista usług.
Zwracana wartość: 0 - jeśli pusta; Text - lista usług rozdzielonych znakiem nowej linii.

Parametry:

• type - all (domyślnie), automatic, manual lub disabled;
• state - all (domyślnie), stopped, started, start_pending, stop_pending, running, continue_pending, pause_pending lub paused;
• exclude - usługi, które należy wykluczyć z wyniku. Wykluczane usługi powinny być podane w podwójnych cudzysłowach, rozdzielone przecinkami, bez spacji.

Przykłady:

services[,started] #zwraca listę uruchomionych usług;
services[automatic, stopped] #zwraca listę zatrzymanych usług, które powinny być uruchomione;
services[automatic, stopped, "service1,service2,service3"] #zwraca listę zatrzymanych usług, które powinny być uruchomione, z wyłączeniem usług o nazwach "service1", "service2" i "service3"

vm.vmemory.size[<type>]

Rozmiar pamięci wirtualnej w bajtach lub jako procent całości.
Zwracana wartość: Integer - dla bajtów; float - dla wartości procentowej.

Parametr:

• type - możliwe wartości: available (dostępna pamięć wirtualna), pavailable (dostępna pamięć wirtualna, w procentach), pused (używana pamięć wirtualna, w procentach), total (całkowita pamięć wirtualna, domyślnie) lub used (używana pamięć wirtualna)

Komentarze:

• Monitorowanie statystyk pamięci wirtualnej opiera się na:
  
  • Całkowitej pamięci wirtualnej w systemie Windows (całkowita pamięć fizyczna + rozmiar pliku stronicowania);
    
  • Maksymalnej ilości pamięci, którą agent Zabbix może przydzielić;
    
  • Bieżącym limicie pamięci przydzielonej dla systemu lub agent Zabbix, w zależności od tego, która wartość jest mniejsza.

Przykład:

vm.vmemory.size[pavailable] #zwraca dostępną pamięć wirtualną, w procentach

wmi.get[<namespace>,<query>]

Wykonuje zapytanie WMI i zwraca pierwszy wybrany obiekt.
Wartość zwracana: Integer, float, string lub text (w zależności od żądania).

Parametry:

• namespace - przestrzeń nazw WMI;
  
• query - zapytanie WMI zwracające pojedynczy obiekt.

Zapytania WMI są wykonywane przy użyciu WQL.

Przykład:

wmi.get[root\cimv2,select status from Win32_DiskDrive where Name like '%PHYSICALDRIVE0%'] #zwraca status pierwszego dysku fizycznego

wmi.getall[<namespace>,<query>]

Wykonuje zapytanie WMI i zwraca całą odpowiedź. Może być używane do odkrywania niskiego poziomu.
Wartość zwracana: obiekt JSON

Parametry:

• namespace - przestrzeń nazw WMI;
  
• query - zapytanie WMI.

Uwagi:

• Zapytania WMI są wykonywane przy użyciu WQL.
• Przetwarzanie wstępne JSONPath może być używane do wskazania bardziej szczegółowych wartości w zwróconym JSON.

Przykład:

wmi.getall[root\cimv2,select * from Win32_DiskDrive where Name like '%PHYSICALDRIVE%'] #zwraca informacje o stanie dysków fizycznych

Monitorowanie usług Windows

Ten samouczek zawiera instrukcje krok po kroku dotyczące konfiguracji monitorowania usług Windows. Zakłada się, że serwer Zabbix i agent są skonfigurowane i działają poprawnie.

Krok 1

Pobierz nazwę usługi.

Nazwę usługi można uzyskać, przechodząc do przystawki MMC Services i otwierając właściwości usługi. Na karcie General powinno być widoczne pole o nazwie „Service name”. Następująca po nim wartość to nazwa, której użyjesz podczas konfigurowania pozycji do monitorowania. Na przykład, jeśli chcesz monitorować usługę „workstation”, nazwa usługi może być następująca: lanmanworkstation.

Krok 2

Skonfiguruj pozycję do monitorowania usługi.

Pozycja service.info[service,<param>] pobiera informacje o określonej usłudze. W zależności od potrzebnych informacji należy określić opcję param, która przyjmuje następujące wartości: displayname, state, path, user, startup lub description. Wartością domyślną jest state, jeśli param nie zostanie określony (service.info[service]).

Typ zwracanej wartości zależy od wybranego param: integer dla state i startup; character string dla displayname, path i user; text dla description.

Przykład:

• Klucz: service.info[lanmanworkstation]
• Typ informacji: Numeryczny (bez znaku)

Pozycja service.info[lanmanworkstation] pobierze informacje o stanie usługi jako wartość liczbową. Aby odwzorować wartość liczbową na reprezentację tekstową we frontendzie („0” jako „Running”, „1” jako „Paused” itd.), można skonfigurować mapowanie wartości na hoście, na którym skonfigurowano pozycję. Aby to zrobić, należy albo podłączyć szablon Windows services by Zabbix agent lub Windows services by Zabbix agent active do hosta, albo skonfigurować na hoście nową mapę wartości opartą na mapie wartości Windows service state skonfigurowanej we wspomnianych szablonach.

Należy pamiętać, że oba wspomniane szablony mają skonfigurowaną regułę wykrywania, która będzie automatycznie wykrywać usługi. Jeśli nie jest to pożądane, można wyłączyć regułę wykrywania na poziomie hosta po podłączeniu szablonu do hosta.

Wykrywanie usług Windows

Wykrywanie niskiego poziomu zapewnia sposób na automatyczne tworzenie pozycji, wyzwalaczy i wykresów dla różnych obiektów na komputerze. Zabbix może automatycznie rozpocząć monitorowanie usług Windows na komputerze, bez potrzeby znajomości dokładnej nazwy usługi ani ręcznego tworzenia pozycji dla każdej usługi. Filtr może zostać użyty do generowania rzeczywistych pozycji, wyzwalaczy i wykresów tylko dla interesujących usług.