Ad Widget

**Kos** · 07-08-2017, 16:23

Однако, создать шаблон, а вместе с ним item и tigger по инструкции в выше описанной статье не получилось. Zabbix указывал на неверный синтаксис написания правил.

Начиная с версии 2.4, немного поменялся синтаксис написания правил в триггерах: вместо символов "&" и "|" нужно писать словами: "and" и "or". Это гораздо проще поправить руками, чем переставлять сервер на другую версию. К тому же, уже неподдерживаемую.

в статусе мониторинга напротив триггера по сбору security event написано "Не поддерживается".

Прежде чем ковыряться с триггерами, надо убедиться в том, что данные для данной метрики приходят с агента на сервер. Monitoring -> Latest data -> Ваш агент; должны увидеть данные из соответствующего лога. Чтобы это произошло, надо: а) убедиться, что агент настроен на работу в активном режиме (в его конфиге указаны верные значения параметров ServerActive и Hostname), б) что сам элемент данных настроен на режим "Zabbix agent (active)", в) что после всех настроек прошло некоторое время (серверу - перечитать сконфигурированные значения, агенту - опросить сервер на предмет нового списка активных проверок), хотя бы несколько минут, г) и только после этого генерировать какие-то события в указанный лог и смотреть, появились ли они на сервере в Latest data.

**Rez0rro** · 07-08-2017, 17:06

Данные с агента приходят, вот скриншот из Monitoring -> Latest data

А вот настройки самого агента из файла zabbix_agentd.conf

Code:

[I]
Server=192.168.126.128
ServerActive=192.168.126.128
Hostname=Test1.localdomain[/I]

Агент запущен в режиме "active", с момента установки прошло уже две недели, событий безопасности нагенерировано больше чем достаточно. За это время наверное уже с сотню раз перезагружали клиентский хост, создавали юзеров, меняли им пароли, удаляли\добавляли в группы безопасности. В журналах Windows эти события точно содержатся. А вот на сервер Zabbix'а так и не поступают.

**Rez0rro** · 07-08-2017, 17:10

Вот все что пришло с агента (Latest data)

**Rez0rro** · 07-08-2017, 17:11

А вот скриншот с ITEM, все активно

**softcom** · 08-08-2017, 10:02

У меня была схожая ситуация.
Решения было следующее:
1. server active=192.168.0.1:10051 ! Нужно указать порт
2. Hostname = должен быть такой же как и узел на сервере

**Rez0rro** · 08-08-2017, 11:42

softcom, спасибо, последовал совету и дополнительно в файле конфига указал порт и еще раз проверил hostname, все совпадает.

Kos, Действительно, синтаксис изменился не значительно, заменил значки "&" и "|" на слова "and" и "or" и вуаля, триггер заработал на версии 3.2.

Еще раз провернули тестовые события - создали юзера, добавили его в группу, перезагрузили и залогинились. В результате в событиях на дашборд все равно не приходят. Пробывали на 3.2 и на 2.0 платформах все безуспешно.

Что можно сделать еще?

**softcom** · 08-08-2017, 11:48

Вот такой вот у меня триггер:
{Template Windows Events:eventlog[Security,,,,4740].logeventid(0)}=1
and
{Template Windows Events:eventlog[Security,,,,4740].nodata(1m)}=0

в дашборде сообщение висит винту, потом пропадает, алерт на почту приходит

**Rez0rro** · 08-08-2017, 12:03

Заметил, что в версии 2.0 в меню Настройка - Узлы сети - Тригреры
написано "Item not supported for function" и дальше идет выражение тригегера {MyHost:eventlog[Security,,,,1102|4624|4625|4720|4724|4725|4726|473 1|47

Code:

32|4733|4734|4735|4738|4781].logeventid(4624)}=1 and {MyHost:eventlog[Security,,,,1102|4624|4625|4720|4724|4725|4726|4731|4732|4733|4734|4735|4738|4781].nodata(5m)}=0

красный перечеркнутый квадратик

**Kos** · 08-08-2017, 17:28

К сожалению, Ваших картинок, расположенных на стороннем ресурсе, я здесь не вижу. Этот форум вполне позволяет публиковать картинки прямо здесь (правда, с несколько строговатыми, на мой взгляд, ограничениями по размерам, но, как правило, скриншот можно аккуратно обрезать и слегка уменьшить).

Я, честно говоря, так и не понял, поступают ли у Вас с агента на сервер те данные, которые собираются в активном режиме. Картинок, как сказано выше, я не вижу, а пишете Вы противоречиво: то "данные с агента приходят", то "на сервер Zabbix'а так и не поступают".
Можно перевести в активный режим, кроме логов, ещё что-нибудь, затем подождать и проверить - приходят ли "активные" данные вообще.

Т.е. правильной будет примерно такая цепочка:
1) убедиться, что хоть какие-то данные, собираемые в активном режиме, приходят на сервер (появляются в Latest data);
2) добиться того, чтобы там же (в Latest data) появлялись события из виндовых логов;
3) убедиться, что для нужных событий из логов срабатывают триггеры;
4) убедиться, что при срабатывании триггера присылаются оповещения (если они у Вас настроены).

Именно в такой последовательно, никак иначе. Искать какие-то события (т.е. сработавшие триггеры) в дашборде, пока у вас не собираются данные - смысла нет. Ожидать прихода данных, пока у вас не настроен нормально активный режим агента - тоже бесполезно.

В последнем Вашем сообщении текст триггерного выражения начинается с явно обрезанного элемента данных - если это не опечатка, то неудивительно, что такой Item not supported.

**Rez0rro** · 09-08-2017, 12:39

Удалось побороть ситуацию!

Ошибки оказались совсем глупые, но на них ка кизвестно учатся, вот в чем было дело:

1. Мы эксперементировали на разных версиях ОС (XP, 7, Server 2008), Item и Trigger для всех них создавали универсально, в итоге Event ID для разных версий ОС тоже разные, об этом позабыли и поэтому не могли отловить события, тупо просто запрашивали не те что сохранялись в журнале.

2. Не знаю на сколько помогло, но по умолчанию порт 10050 в самом Zabbix, а иногда в примерах настройки конфига для agent zabbix указывали 10051. Вообщем в agent_conf явно прописали опцию

Code:

Port=10050

3. По умолчанию на клинских ОС отключен аудит событий ИБ (вход\выход, ввод пароля, смена имени акаунта и т.д.), в итоге что бы события генерировались и агент их забирал из журнала нужно включить опцию аудита соответствуюих Security Event в локальной политике для тестируемого хоста.

4. Отказались от версии 2.0, т.к. есть подозрения, что многие фичи, которые нам нужны там не работают корректно с версиями Windows NT 6.x. Поэтому, ребята, не делайте ошибок как мы, всегда юзайте актуальные релизы.

Результат:

1. Данные о событиях Security Event стали приходить с тестовых хостов на сервер Zabbix.

Теперь, ответ для Kos:
1. Все данные приходят, и Security Event и из шаблонов Windows OS Zabbix Agent (пинги, доступность, версия агента)
2. В "последних данных" события Security Event отображаются (подсвечены зелененьким)
3. Триггеры срабатывают, тестили событие "Успешный вход в систему" и "изменение пароля"
4. А вот тут трабл, оповещения по e-mail у нас не настроена, так что уходят ли оповещения проверить не удалось. А вот алерты на дашборд вообще никаким образом не попадают. Для тех же событий "Успешный вход в систему" и "изменение пароля" никакой реакции хоть сто раз нагенерируй.

Тема с Item not supported. была только на версии Zabbix 2.0, мы от нее отказались в пользу 3.2, там с этим нет никаких проблем.

Т.е. в сухом остатке:

1. Не отображается событие на дашборде
2. Событие можно увидеть в меню "Monitoring" - "Overview", но его нет во вкладке "Problems". Так же событие можно увидеть в "Tiggers".

Как настроить, что бы алерты сыпались в дашборд?

**Kos** · 09-08-2017, 15:13

по умолчанию порт 10050 в самом Zabbix, а иногда в примерах настройки конфига для agent zabbix указывали 10051

По умолчанию, порт 10050 слушается агентом, когда он работает в пассивном режиме (принимает на этот порт соединения от сервера).
Аналогично, порт 10051 слушается сервером (принимает входящие соединения от клиента, работающего в активном режиме, и от утилиты zabbix_sender).

Событие можно увидеть в меню "Monitoring" - "Overview", но его нет во вкладке "Problems". Так же событие можно увидеть в "Tiggers".

Если я не ошибаюсь, закладка "Problems" отображает только триггеры в состоянии "Проблема". Если Ваш триггер сразу же закрывается (например, по условию ...nodata(30) = 0), то он там будет появляться на очень короткое время.

Ad Widget

Сбор событий Security ID Event с журналов Windows Server

Сбор событий Security ID Event с журналов Windows Server

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment