11 Мониторинг журнала событий Windows с использованием активных проверок
Введение
В этом руководстве объясняется, как отслеживать журналы событий Windows в Zabbix с помощью активных проверок. Используя специфичные для Windows ключи элементов данных Zabbix, вы можете собирать и анализировать критические события (например, неудачные попытки входа в систему, системные ошибки и т. д.) в режиме реального времени.
Для кого предназначено это руководство
Это руководство предназначено для новых пользователей Zabbix и сетевых администраторов, которые хотят отслеживать журналы событий Windows. Дополнительные параметры настройки см. в документации специфичных для Windows ключей элементов данных.
Предварительные требования
Прежде чем продолжить, необходимо загрузить и установить сервер Zabbix и веб-интерфейс Zabbix в соответствии с инструкциями для вашей ОС. Также необходимо загрузить и установить агент Zabbix на компьютере с Windows, который вы хотите отслеживать.
Настройка Zabbix agent для мониторинга журнала событий Windows
1. Откройте zabbix_agentd.conf (путь по умолчанию C:\Program Files\Zabbix Agent\zabbix_agentd.conf) на вашем узле сети Windows и убедитесь, что параметр ServerActive установлен в IP-адрес вашего сервера Zabbix, а параметр Hostname соответствует имени узла сети, которое будет задано в веб-интерфейсе Zabbix. Это позволяет агенту запрашивать активные проверки для своего узла сети у указанного сервера Zabbix. Например:
ServerActive=192.0.2.1
Hostname=MyWindowsHost2. Перезапустите службу Zabbix agent, чтобы применить изменения:
net stop "Zabbix Agent" && net start "Zabbix Agent"3. Проверьте, что узел сети Windows работает:
- Убедитесь, что служба Zabbix agent запущена на узле сети Windows.
- Проверьте, что узел сети Windows может подключаться к серверу Zabbix через порт 10051. Чтобы проверить подключение с узла сети Windows, откройте PowerShell и выполните следующую команду:
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051Настройка веб-интерфейса Zabbix
1. Перейдите в Сбор данных > Узлы сети и создайте узел сети:
- В поле Имя узла сети введите имя узла сети (например, "MyWindowsHost").
- В поле Группы узлов сети введите или выберите группу узлов сети (например, "Event log Monitoring").
- Нажмите Добавить, чтобы сохранить настроенный узел сети.
В поле Шаблоны вы можете добавить шаблон "Windows by Zabbix agent active", чтобы помочь в поиске неисправностей, наблюдая, обновляются ли другие активные элементы данных на том же узле сети.
2. Создайте новый элемент данных со следующими параметрами:
- В поле Имя введите описательное имя элемента данных (например, "Security log: failed logon events").
- В раскрывающемся списке Тип выберите "Zabbix agent (active)" (требуется для мониторинга журнала событий).
- В поле Ключ используйте ключ элемента данных eventlog. Например, чтобы отслеживать неудачные попытки входа в систему (Event ID: 4625) в журнале Security и игнорировать записи, более старые, чем последняя проверка элемента данных (с использованием параметра
skip), введите следующий ключ элемента данных:eventlog[Security,,,,4625,,skip] - В раскрывающемся списке Тип информации выберите "Log".
3. Нажмите Добавить, чтобы сохранить элемент данных.
Проверка и просмотр собранных метрик
Поздравляем! Теперь Zabbix настроен на сбор журналов событий Windows. Чтобы убедиться, что журналы событий собираются, вы можете проверить элемент данных "Журнал безопасности: события неудачного входа", выйдя из своей учетной записи Windows и попытавшись войти с неверными учетными данными.
Затем просмотрите собранные журналы в веб-интерфейс Zabbix:
1. Перейдите в Monitoring > Latest data в веб-интерфейс Zabbix.
2. Отфильтруйте по вашему узлу сети "MyWindowsHost" в поле Name.
3. Нажмите History, чтобы просмотреть записанные значения журнала.
4. Если значения журнала отсутствуют, перейдите к разделу руководства Устранение неполадок.
Настройка оповещений о проблемах
В этом руководстве приведены основные шаги по настройке отправки оповещений по электронной почте.
1. Перейдите в Data collection > Hosts, чтобы создать триггер, который сработает, когда ваш элемент данных журнала событий зафиксирует нужный вам шаблон. Например, чтобы отлавливать неудачные попытки входа в журнале Security, используйте функцию find():
find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")
2. Перейдите в User settings > Profile, откройте вкладку Media и добавьте свой адрес электронной почты.
3. Следуйте руководству Получение уведомления о проблеме.
В следующий раз, когда Zabbix обнаружит проблему, вы должны получить оповещение по электронной почте.
Устранение неполадок
Если у вас возникают проблемы со сбором или просмотром журналов событий Windows, воспользуйтесь приведёнными ниже советами, чтобы выявить и устранить распространённые проблемы:
1. На сервере Zabbix (Linux) выведите список правил iptables следующей командой:
sudo iptables -L -nи убедитесь, что существует правило ACCEPT для TCP-порта 10051.
2. Убедитесь, что ваш ключ eventlog[...] использует точное имя журнала (с учётом регистра), ID события, режим (например, skip) и другие параметры в точности так, как показано в разделе Специфичные для Windows ключи элементов данных.
См. также:
- Создание элемента данных - узнайте, как добавлять дополнительные метрики.
- Агент Zabbix в Microsoft Windows - подробные инструкции по установке.
- Мониторинг Windows с помощью агента Zabbix - подробное руководство по настройке базового мониторинга для компьютеров Windows с использованием агента Zabbix.
- Ключи элементов данных, специфичные для Windows - подробная информация о ключах элементов данных, специфичных для Windows, поддерживаемых агентами Zabbix, включая ключи для мониторинга журналов событий.
- Мониторинг файлов журналов - инструкции по настройке Zabbix для централизованного мониторинга и анализа файлов журналов, применимые к журналам событий Windows.