標籤:windows zabbix 日誌監控 windows監控
Zabbix監控Windows使用者登入是通過對Windows日誌的監控來實現。在登入審核失敗或者登入成功時發出警示。
警示郵件樣本:
650) this.width=650;" src="http://s3.51cto.com/wyfs02/M00/73/22/wKioL1X2ad7TyQEtAAME4MUVyiU263.jpg" title="9.png" alt="wKioL1X2ad7TyQEtAAME4MUVyiU263.jpg" />
下面給出監控思路和步驟:
一、分析登入日誌
開啟事件檢視器,依次選擇“Windows日誌”->“安全”。
650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/73/20/wKioL1X2QX2iorSqAALZSL-V-Vk795.jpg" title="1.png" alt="wKioL1X2QX2iorSqAALZSL-V-Vk795.jpg" />
1、登入成功的日誌
通常一個登入成功的日誌有四條:
650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/73/21/wKioL1X2VlLhk1kDAACcUUvYkaw227.jpg" title="4.png" alt="wKioL1X2VlLhk1kDAACcUUvYkaw227.jpg" />
其中事件ID為4624的日誌裡包含登入賬戶名、登入源IP和連接埠等。
650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/73/26/wKiom1X2dkGwlcaWAAGv4Sfs-ik870.jpg" title="3.png" alt="wKiom1X2dkGwlcaWAAGv4Sfs-ik870.jpg" />
2、賬戶登入失敗的日誌
賬戶登入失敗會產生一條事件ID為4625的日誌,日誌裡也包含登入賬戶名、登入源IP和連接埠:
650) this.width=650;" src="http://s3.51cto.com/wyfs02/M01/73/26/wKiom1X2drjSkyKGAAGhdic1ebI729.jpg" title="2.png" alt="wKiom1X2drjSkyKGAAGhdic1ebI729.jpg" />
所以,對於“登入成功”我們只監控事件ID為4624的日誌就可以了,對於“登入失敗”監控事件ID為4625的日誌。
二、建立監控項
1、登錄成功的監控項
650) this.width=650;" src="http://s3.51cto.com/wyfs02/M00/73/21/wKioL1X2WV_DbIS9AAFnmhqwGSg243.jpg" title="5.png" alt="wKioL1X2WV_DbIS9AAFnmhqwGSg243.jpg" />
監控項Name:賬戶登入成功
監控項Key填寫如下:
eventlog[Security,,"Success Audit",,^4624$,,skip]
需要注意:監控項類型選擇Zabbix agent(active);資料類型選擇Log;監控間隔60秒。
其中,監控項Key的參數用大括弧包裹、用逗號分隔,下面解釋下各參數的含義:
參數一 Security:事件的日誌名稱。
參數三 "Success Audit":事件的severity。
參數五 ^4624$:這是一個Regex,匹配事件ID等於4624的日誌。
參數七 skip:含義是不監控已產生的曆史日誌,如果省略skip,會監控出符合以上條件的曆史日誌資訊。
2、賬戶登入失敗的監控項
650) this.width=650;" src="http://s3.51cto.com/wyfs02/M00/73/24/wKiom1X2WPawAlHkAAFyJdS4SfA728.jpg" title="6.png" alt="wKiom1X2WPawAlHkAAFyJdS4SfA728.jpg" />
監控項Name:登入審核失敗
監控項Key填寫如下:
eventlog[Security,,"Failure Audit",,^4625$,,skip]
三、建立觸發器
1、登錄成功的觸發器
650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/73/24/wKiom1X2XSjTftLOAAHnt42-1BY469.jpg" title="7.png" alt="wKiom1X2XSjTftLOAAHnt42-1BY469.jpg" />
觸發器的運算式如下:
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 & {Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0
運算式的含義為:如果在60秒內有監控到資料,並且監控內容不包含字串"Advapi"則觸發警示,如果60秒內沒有新的資料了,則觸發器恢複OK。簡單點說就是,使用者登入後觸發器觸發至少會持續60秒,如果使用者不斷的登入成功,間隔小於60秒,則觸發器一直是problem狀態。
2、賬戶登入失敗的觸發器
650) this.width=650;" src="http://s3.51cto.com/wyfs02/M01/73/22/wKioL1X2ZbfC-E3qAAD870y1NkE176.jpg" title="8.png" alt="wKioL1X2ZbfC-E3qAAD870y1NkE176.jpg" />
觸發器的運算式如下:
{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^4625$,,skip].nodata(60)}=0 & {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^4625$,,skip].str(Advapi)}=0
運算式的含義為:如果在60秒內有監控到資料,並且監控內容不包含字串"Advapi"則觸發警示。如果60秒後沒有新的資料了,則觸發器恢複OK。
如果有人不斷的惡意破解登入密碼,你會發現觸發器problem狀態會一直存在。
監控項和觸發器的介紹就這些了,模板在附件裡,下載後改檔案名稱Template Windows Event Log.xml。
Zabbix監控Windows日誌之監控磁碟壞塊:http://qicheng0211.blog.51cto.com/3958621/1436344
Zabbix監控Linux日誌之異常登入警示:http://qicheng0211.blog.51cto.com/3958621/1624155
本文出自 “啟程的Linux部落格” 部落格,請務必保留此出處http://qicheng0211.blog.51cto.com/3958621/1694583
Zabbix日誌監控之監控Windows使用者登入
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
