Zabbix監控報警windows使用者登陸

一、目的

目的：zabbix監控本地使用者或者mstsc登陸windows伺服器，避免密碼洩露，惡意登陸，資訊洩露現象，及時通報給系統管理員。注意：此文件不**zabbix分布式，調優，監控其它服務等問題。

renzhiyuan.blog.51cto.com

二、準備工作：

2.1）zabbix服務安裝配置（安裝注意事項不**）

2.3）修改報警模板（預設的報警配置視覺感比較差，不**）

2.4）客戶端安裝配置zabbix_agent

2.4.1)zabbix客戶端配置

"d:\zabbix-3.0.5\bin\win64\zabbix_agentd.exe"

--config"d:\zabbix-3.0.5\bin\win64\zabbix_agentd.win.conf"

#註冊為系統服務：

2.4.2）配置zabbix_agent:zabbix_agentd.win.conf

logfile=d:\zabbix-3.0.5\bin\win64\zabbix_agentd.log
server=192.168.1.244         #-zabbix主機
# listenport=10050
# listenip=0.0.0.0
listenip=192.168.1.243       #-本機ip
#serveractive=127.0.0.1

2.4.3）防火牆配置：firewall.cpl

#允許10050埠（預設埠）

2.4.4）啟動zabbix_agent

2.5）了解windows安全日誌：

審核失敗：如果有人惡意輸錯使用者名稱密碼訪問。

三、伺服器配置：

3.1）新增動作配置：

3.2：建立監控項：

3.2.1）賬戶登陸成功監控項：

新建應用集：event log

名稱：賬戶登陸成功

型別：zabbix客戶端（主動式）

鍵值：eventlog[security,,"success audit",,^4624$,,skip]

引數一 security：事件的日誌名稱。

引數三 "success audit"：事件的severity。

引數五 ^4624$：這是乙個正規表示式，匹配事件id等於4624的日誌。

引數七 skip：含義是不監控已產生的歷史日誌，如果省略skip，會監控出符合以上條件的歷史日誌

資訊。資訊型別：日誌

監控間隔：60s

歷史保留時長7天

3.2.2）賬戶登陸失敗監控項：

3.3）建立觸發器：

3.3.1）登陸成功的觸發器：

=0 and
=0

表示式的含義為：如果在60秒內有監控到資料，並且監控內容不包含字串"advapi"則觸發告警，如果60秒內沒有新的資料了，則觸發器恢復ok。簡單點說就是，使用者登入後觸發器觸發至少會持續60秒，如果使用者不斷的登入成功，間隔小於60秒，則觸發器一直是problem狀態。

3.3.2)賬戶登陸失敗觸發器：

=0 and =0

表示式的含義為：如果在60秒內有監控到資料，並且監控內容不包含字串"advapi"則觸發告警。如果60秒後沒有新的資料了，則觸發器恢復ok。如果有人不斷的惡意破解登入密碼，你會發現觸發器problem狀態會一直存在。

四、觸發：

mstsc或者登陸本機，查收郵件：

注：有相關博文博友反應，這篇文章有一篇和此很相似：

雖然這裡基本思路一致，但是也是有些許不同之處。

之前博主確實參考過此篇文章，可流程，思路，監控失敗項也是不一樣的，並且我還查了官網。這裡將此博文鏈結註明，避免不必要的誤會。

Zabbix監控報警windows使用者登陸

zabbix監控之簡訊報警

zabbix應用之監控磁碟壞塊 windows

zabbix郵件報警

Zabbix監控報警windows使用者登陸

zabbix監控之簡訊報警

zabbix應用之監控磁碟壞塊 windows

zabbix郵件報警

相關推薦