Всем привет. Столкнулся с такой проблемой. В событиях безопасности AD есть события с ID 4740 - Учетная запись заблокирована. Но агент забикса их не отсылает на сервер. Другие события из журнала безопасности шлет, а именно эти - нет. Кто-нибудь сталкивался с подобным?
-
-
Answer selected by Hamardaban at 17-04-2024, 13:56.
Могу лишь сказать, что на 6.4.13 такие события регистрируются нормально. -
Как настроен элемент данных? Хост? Какая версия заббикса?Comment
-
Сервер Zabbix 6.2.1. Агент версии 6.2.7. Элемент настроен как Zabbix agent(active), тип - журнал, ключ сначала выставлял eventlog[Security,,,,4740], но потом ставил eventlog[Security]. Все события приходят, кроме 4740
Настройки агента(закоментаренное убрал) zabbix_agentd.conf:
LogFile=C:\Program Files\Zabbix Agent\zabbix_agentd.log
Server=zabbix.###.ru
ServerActive=zabbix.###.ru
Hostname=SRV-NODE2
Include=C:\Program Files\Zabbix Agent\zabbix_agentd.d\
Хост опрашивается как пассивно(есть элементы Zabbix agent), активный только элемент evetlog. В настройках хоста "Host name" настроено так же - SRV-NODE2Last edited by MaxSakh; 16-04-2024, 23:43.Comment
-
Ок - вроде всё правильно…
Можно порыть в багрепортах - может кто-то сталкивался и написал.
Но остается колдунство с уровнем логирования на агенте - увеличить и посмотреть что происходит при возникновении события 4740!
Ну и стандартные рекомендации про обновление до последних версий.Comment
-
Понял, спасибо, буду копать. Уровень дебага ставил максимальный - 5. В логах вообще ничего, такое ощущение, что агент их просто не видит когда перечитывает журнал безопасности. Будем значит смотреть багрепорты и\или обновляться до последних версий.Comment
-
Могу лишь сказать, что на 6.4.13 такие события регистрируются нормально.Comment
-
Действительно, обновление сервера и агента до 6,4,13 решило проблему.Comment
Comment