標籤:zabbx監控警示windows使用者登陸
一、目的
目的:zabbix監控本機使用者或者mstsc登陸windows伺服器,避免密碼泄露,惡意登陸,資訊泄露現象,及時通報給系統管理員。注意:此文檔不探討zabbix分布式,調優,監控其它服務等問題。
本實驗做了一天多,比較耗時,走了點彎路,允許轉載,請轉載請指明連結:
renzhiyuan.blog.51cto.com
二、準備工作:
2.1)zabbix服務安裝配置(安裝注意事項不探討)
2.2)配置郵件警示(,QQ,簡訊警示不探討)
2.3)修改警示模板(預設的警示配置視覺感比較差,不探討)
2.4)用戶端安裝配置zabbix_agent
2.4.1)zabbix用戶端配置
"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.exe"--config"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.win.conf" #註冊為系統服務:2.4.2)配置zabbix_agent:zabbix_agentd.win.confLogFile=D:\zabbix-3.0.5\bin\win64\zabbix_agentd.logServer=192.168.1.244 #-zabbix主機# ListenPort=10050# ListenIP=0.0.0.0ListenIP=192.168.1.243 #-本機ip#ServerActive=127.0.0.12.4.3)防火牆配置:firewall.cpl#允許10050連接埠(預設連接埠)
2.4.4)啟動zabbix_agent
650) this.width=650;" src="https://s3.51cto.com/wyfs02/M01/8C/E3/wKiom1h8jI2TRwStAAAZX4N4-kw086.png-wh_500x0-wm_3-wmp_4-s_1535472861.png" title="4.png" alt="wKiom1h8jI2TRwStAAAZX4N4-kw086.png-wh_50" />
2.5)瞭解windows安全日誌:
650) this.width=650;" src="https://s4.51cto.com/wyfs02/M02/8C/E3/wKiom1h8jNfinyLlAAD15wGnFTI221.png-wh_500x0-wm_3-wmp_4-s_3264655873.png" title="1.png" alt="wKiom1h8jNfinyLlAAD15wGnFTI221.png-wh_50" />
650) this.width=650;" src="https://s2.51cto.com/wyfs02/M01/8C/E3/wKiom1h8jPPh73XdAACPUu3a_XY591.png-wh_500x0-wm_3-wmp_4-s_2033075900.png" title="2.png" alt="wKiom1h8jPPh73XdAACPUu3a_XY591.png-wh_50" />
審核失敗:如果有人惡意輸錯使用者名稱密碼訪問。
650) this.width=650;" src="https://s5.51cto.com/wyfs02/M01/8C/E0/wKioL1h8jRmTHrpkAABOzIw0nCU877.png-wh_500x0-wm_3-wmp_4-s_3324523574.png" title="1.png" alt="wKioL1h8jRmTHrpkAABOzIw0nCU877.png-wh_50" />
三、伺服器配置:
3.1)新增動作配置:
3.2:建立監控項:
3.2.1)賬戶登陸成功監控項:
建立應用集:Event Log
650) this.width=650;" src="https://s2.51cto.com/wyfs02/M01/8C/E3/wKiom1h8jWPyhMjIAABpQuY0YD4677.png-wh_500x0-wm_3-wmp_4-s_3181244700.png" title="1.png" alt="wKiom1h8jWPyhMjIAABpQuY0YD4677.png-wh_50" />
名稱:賬戶登陸成功
類型:zabbix用戶端(主動式)
索引值:eventlog[Security,,"Success Audit",,^4624$,,skip]
參數一 Security:事件的日誌名稱。
參數三 "Success Audit":事件的severity。
參數五 ^4624$:這是一個Regex,匹配事件ID等於4624的日誌。
參數七 skip:含義是不監控已產生的曆史日誌,如果省略skip,會監控出符合以上條件的曆史日誌資訊。
資訊類型:日誌
監控間隔:60s
曆史保留時間長度7天
3.2.2)賬戶登陸失敗監控項:
eventlog[Security,,"Failure Audit",,^6281$,,skip]
650) this.width=650;" src="https://s3.51cto.com/wyfs02/M02/8C/E3/wKiom1h8jYqyAC-ZAABtACYUEdY591.png-wh_500x0-wm_3-wmp_4-s_921395204.png" title="1.png" alt="wKiom1h8jYqyAC-ZAABtACYUEdY591.png-wh_50" />
3.3)建立觸發器:
3.3.1)登陸成功的觸發器:
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 and{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0
運算式的含義為:如果在60秒內有監控到資料,並且監控內容不包含字串"Advapi"則觸發警示,如果60秒內沒有新的資料了,則觸發器恢複OK。簡單點說就是,使用者登入後觸發器觸發至少會持續60秒,如果使用者不斷的登入成功,間隔小於60秒,則觸發器一直是problem狀態。
3.3.2)賬戶登陸失敗觸發器:
{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].nodata(60)}=0 and {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].str(Advapi)}=0
運算式的含義為:如果在60秒內有監控到資料,並且監控內容不包含字串"Advapi"則觸發警示。如果60秒後沒有新的資料了,則觸發器恢複OK。如果有人不斷的惡意破解登入密碼,你會發現觸發器problem狀態會一直存在。
650) this.width=650;" src="https://s5.51cto.com/wyfs02/M00/8C/E3/wKiom1h8jb3zcV5_AABvwDp8Zv0522.png-wh_500x0-wm_3-wmp_4-s_1979259518.png" title="1.png" alt="wKiom1h8jb3zcV5_AABvwDp8Zv0522.png-wh_50" />
四、觸發:
mstsc或者登陸本機,查收郵件:
650) this.width=650;" src="https://s2.51cto.com/wyfs02/M02/8C/E0/wKioL1h8jeTSShkXAAErodtPnEs242.png-wh_500x0-wm_3-wmp_4-s_3968183915.png" title="1.png" alt="wKioL1h8jeTSShkXAAErodtPnEs242.png-wh_50" />
本文出自 “永不放棄!任志遠” 部落格,轉載請與作者聯絡!
Zabbx監控警示windows使用者登陸