zabbix3.0監控windows系統安全日誌，實現監控使用者登入windows並警示的功能

標籤：zabbix   監控   windows使用者登入   

zabbix3.0版本內建eventlog[name,<regexp>,<severity>,<source>,<eventid>,<maxlines>,<mode>]監控項，通過添加該監控項實踐監控windows系統日誌（系統、安全、應用程式）。

以下是添加監控項的：

650) this.width=650;" src="http://s2.51cto.com/wyfs02/M01/86/87/wKioL1fCt7WxbUdTAACKROeEYlI773.png-wh_500x0-wm_3-wmp_4-s_2891268689.png" style="float:none;" title="item1.PNG" alt="wKioL1fCt7WxbUdTAACKROeEYlI773.png-wh_50" />

其中：Name 指監控項的名稱，可以隨便取，最好做到看到名字就知道意思；

    Type 指監控項的類型，這裡選擇Zabbix agent(active)類型；

    Key 指監控項，第一個參數Security表示為系統安全日誌；第二個參數是個Regex，此處沒用到；第三個參數是“Success Audit”是指windows認證成功；第四個參數source表示登陸源，此處沒用到，如果需要可以寫一個需要監控的源ip；第五個參數是eventid,這裡的540是windows server 2003伺服器，不同的系統版本這個ID可能不一樣；第六個參數是最多監控多少行，這裡空著就好；第七個參數是指監控模式，skip表示以前的資料不重複收集監控。

    Type of information 收集到資料的類型，選擇log類型；

    Update interval(in sec) 收集資料的間隔，這裡是30s；

    History storage period(in days) 曆史資料保留時間，這裡是90天；

    Log time format 時間格式 年月日時:分:秒

    New application 建立應用集，item監控項最好屬於某一個應用集，方便管理和維護；下面的Application是目前存在的應用集，可以為該日誌監控項選擇其中一個，也可以在這裡建立一個應用集；

    Description 監控項的描述，可寫可不寫；

    Enabled 是否啟用該監控項；肯定要勾上，不然幹嘛要添加呢！

最後Update按鈕點一下，一個監控項就建好了。

以下是添加警示項的：

650) this.width=650;" src="http://s2.51cto.com/wyfs02/M00/86/87/wKiom1fCt7XR6-2pAABtiCg1TWM736.png-wh_500x0-wm_3-wmp_4-s_2309371962.png" style="float:none;" title="trigger1.PNG" alt="wKiom1fCt7XR6-2pAABtiCg1TWM736.png-wh_50" />

    Expression 裡面的運算式表示監控項資料中只要檢測到Administrator就觸發警示；這裡是要監控Administrator這個賬戶的登陸情況，所以寫的是Administrator,如果需要監控其它賬戶，換成其它的關鍵字就好！

  

由於本人學識能力有限，文中如有錯誤，還請指出！謝謝！

本文出自 “學習筆記” 部落格，請務必保留此出處http://xiongy.blog.51cto.com/9675269/1843575

zabbix3.0監控windows系統安全日誌，實現監控使用者登入windows並警示的功能