Ad Widget

Collapse

Eventlog (security)

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • Evenshine
    Junior Member
    • Apr 2017
    • 3
    #1

    Eventlog (security)

    Добрый день!
    Наткнулся на статью https://habrahabr.ru/post/215509/ , почитал другую информацию про Zabbix и решил что стоит попробовать.
    Для теста решил взять событие "4738: A user account was changed" и сделать по свершению этого события оповещение.
    Zabbix сервер поставили на Linux, Zabbix агент поставил на свой рабочий пк (win 10).
    Сервер принимает информацию с агента (загрузка цп, жёский...).
    Итак был создан элемент данных Change password:
    тип: zabbix агент (активный)
    ключ: eventlog[Security,,,,4738,,]
    тип инф.: журнал (лог)
    интервал 30 сек
    Далее был создан триггер с выражением:
    {alex-test:eventlog[Security,,,,4738,,].logeventid(4738)}=1
    По окончанию создания элемента данных (да и после написания триггера пк) я поменял пароль на пк (на котором стоит агент), но в "последних данных" никакой информации по событию не было.
    Вот конфиг агента:
    Server=192.168.10.200
    Hostname=host.local
    ListenPort=10050
    LogFile=c:\program files\zabbix_agentd.log
    LogFileSize=10

    Подскажите пожалуйста где я сделал ошибку.
    Tags: None
    • sadman
      Senior Member
      • Dec 2010
      • 1611
      #2
      Originally posted by evenshine
      тип: Zabbix агент (активный)
      ...
      Вот конфиг агента:
      Server=192.168.10.200
      hostname=host.local
      listenport=10050
      logfile=c:\program files\zabbix_agentd.log
      logfilesize=10
      А где видно, что агент работает в активном режиме?

        Comment

        • Evenshine
          Junior Member
          • Apr 2017
          • 3
          #3
          Originally posted by sadman
          А где видно, что агент работает в активном режиме?
          Извиняюсь за это глупое упущение, поправил конфиг, теперь выглядит так:
          Server=192.168.10.200
          ListenPort=10050
          LogFile=c:\program files\zabbix_agentd.log
          LogFileSize=10
          ServerActive=192.168.10.200
          RefreshActiveChecks=60

          hostname убрал т.к. имя узела сети = имя пк
          Связь с агентом по прежнему есть, но в "последних данных" пусто.

          В логах агента имеется такая строка:
          2984:20170419:104131.022 active check configuration update from [192.168.10.200:10051] started to fail (cannot connect to [[192.168.10.200]:10051]: [0x00002743] Сделана попытка выполнить операцию на сокете при отключенной сети.)

          Вызвана она, полагаю, тем, что при включении пк сеть пару секунд недоступна.

          Брандмауэр, антивир выкл.

            Comment

            • Semiadmin
              Senior Member
              • Oct 2014
              • 1625
              #4
              Посмотрите в последних данных, что получает айтем Host name of zabbix_agentd running. Это имя должно совпадать с Host name в Zabbix (не Visible name, а именно Host name, если есть Visible name). Регистр критичен.

                Comment

                • sadman
                  Senior Member
                  • Dec 2010
                  • 1611
                  #5
                  Originally posted by Evenshine
                  hostname убрал т.к. имя узела сети = имя пк
                  И оно совпадает с тем, что в Zabbix?
                  Я не совсем понимаю - простые элементы (типа объёма памяти, загрузки CPU) в активном режиме работают?

                  [[192.168.10.200]:10051]: [0x00002743] Сделана попытка выполнить операцию на сокете при отключенной сети.)
                  Вызвана она, полагаю, тем, что при включении пк сеть пару секунд недоступна.
                  Ну, через 60сек должен же быть повтор запроса списка ключей активных элементов данных. К этому моменту сеть должна уже очухаться.

                    Comment

                    • Evenshine
                      Junior Member
                      • Apr 2017
                      • 3
                      #6
                      Originally posted by sadman
                      И оно совпадает с тем, что в Zabbix?
                      Я не совсем понимаю - простые элементы (типа объёма памяти, загрузки CPU) в активном режиме работают?

                      Ну, через 60сек должен же быть повтор запроса списка ключей активных элементов данных. К этому моменту сеть должна уже очухаться.
                      Когда первый раз вообще убрал из конфига агента Hostname, то в "последних данных" на элементе данных Host name of zabbix_agentd running увидел значение: LAV (хотя имя ПК Lav), после этого решил переименовать нужный узел сети в LAV и не прописывать Hostname в конфиге (где то в документации читал, что можно так делать).

                      Простые элементы работают в обычном режиме (пассивном(тип:zabbix агент)), эти элементы я задействовал с помощью шаблона Template OS Windows (Template App Zabbix Agent).

                      Значение получаемое от итема Host name of zabbix_agentd running идентично Имени узла сети =| ещё раз сейчас проверял, а видимое имя и вовсе не прописывал.
                      Last edited by Evenshine; 19-04-2017, 11:03.

                        Comment

                        • Semiadmin
                          Senior Member
                          • Oct 2014
                          • 1625
                          #7
                          Ну, тогда попробуйте локализовать проблему. Переведите какой-нибудь из пассивных айтемов в активный. Продолжит работать - проблема в вашем мониторинге лога, нет - в работе агента в активном режиме.

                            Comment

                            Previous template Next
                            Working...