監控windows用戶登錄
Zabbix監控Windows用戶登錄是通過對Windows事件日志的監控來實現。所以我們通過該事件日志實現在用戶登錄失敗或者登錄成功時發出告警。
下面給出監控思路和步驟:
一、分析登錄日志
打開事件查看器,依次選擇“Windows日志”->“安全”。
登錄成功的日志
其中事件ID為4624的日志里包含登錄賬戶名、登錄源IP和端口等。
賬戶登錄失敗的日志
賬戶登錄失敗也會產生一條事件ID為4625的日志:
所以,對於“登錄成功”我們只監控事件ID為4624的日志就可以了,對於“登錄失敗”監控事件ID為4625的日志。
二、zabbix創建監控項
賬戶登錄成功的監控項
監控項Key填寫如下:
eventlog[Security,,"Success Audit",,^4624$,,skip]
需要注意:監控項類型選擇Zabbix agent(active);數據類型選擇Log;監控間隔60秒。
其中,監控項Key的參數用大括號包裹、用逗號分隔,下面解釋下各參數的含義:
參數一 Security:事件的日志名稱。 參數三 "Success Audit":事件的severity。 參數五 ^4624$:這是一個正則表達式,匹配事件ID等於4624的日志。 參數七 skip:含義是不監控已產生的歷史日志,如果省略skip,會監控出符合以上條件的歷史日志信息。
賬戶登錄失敗的監控項
監控項Key填寫如下:
eventlog[Security,,"Failure Audit",,^4625$,,skip]
三、zabbix創建觸發器
賬戶登錄成功的觸發器
觸發器的表達式如下:
{192.168.1.1:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(90)}=0 and {192.168.1.1:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0
注:這里IP需替換成主機名稱
表達式的含義為:如果在60秒內有監控到數據,並且監控內容不包含字符串"Advapi"則觸發告警,如果60秒內沒有新的數據了,則觸發器恢復OK。簡單點說就是,用戶登錄后觸發器觸發至少會持續60秒,如果用戶不斷的登錄成功,間隔小於60秒,則觸發器一直是problem狀態。
賬戶登錄失敗的觸發器
觸發器的表達式如下:
{192.168.1.1:eventlog[Security,,"Failure Audit",,^4625$,,skip].nodata(90)}=0 and {192.168.1.1:eventlog[Security,,"Failure Audit",,^4625$,,skip].str(Advapi)}=0
注:這里IP需替換成主機名稱
表達式的含義為:如果在60秒內有監控到數據,並且監控內容不包含字符串"Advapi"則觸發告警。如果60秒后沒有新的數據了,則觸發器恢復OK。