Zabbix日誌監控之監控Windows用戶登陸

    Zabbix監控Windows用戶登陸是經過對Windows日誌的監控來實現。在登陸審覈失敗或者登陸成功時發出告警。正則表達式

    告警郵件示例:api

wKioL1X2ad7TyQEtAAME4MUVyiU263.jpg

    下面給出監控思路和步驟:安全

1、分析登陸日誌ide

    打開事件查看器,依次選擇「Windows日誌」->「安全」。spa

wKioL1X2QX2iorSqAALZSL-V-Vk795.jpg

    一、登陸成功的日誌3d

    一般一個登陸成功的日誌有四條:日誌

wKioL1X2VlLhk1kDAACcUUvYkaw227.jpg

    其中事件ID爲4624的日誌裏包含登陸帳戶名、登陸源IP和端口等。xml

wKiom1X2dkGwlcaWAAGv4Sfs-ik870.jpg

    二、帳戶登陸失敗的日誌blog

    帳戶登陸失敗會產生一條事件ID爲4625的日誌,日誌裏也包含登陸帳戶名、登陸源IP和端口:事件

wKiom1X2drjSkyKGAAGhdic1ebI729.jpg

    因此,對於「登陸成功」咱們只監控事件ID爲4624的日誌就能夠了,對於「登陸失敗」監控事件ID爲4625的日誌。

2、建立監控項

    一、登錄成功的監控項

    wKioL1X2WV_DbIS9AAFnmhqwGSg243.jpg

    

    監控項Name:帳戶登陸成功

    監控項Key填寫以下:

eventlog[Security,,"Success Audit",,^4624$,,skip]

    須要注意:監控項類型選擇Zabbix agent(active);數據類型選擇Log;監控間隔60秒。

    其中,監控項Key的參數用大括號包裹、用逗號分隔,下面解釋下各參數的含義:

    參數一 Security:事件的日誌名稱。

    參數三 "Success Audit":事件的severity。

    參數五 ^4624$:這是一個正則表達式,匹配事件ID等於4624的日誌。

    參數七 skip:含義是不監控已產生的歷史日誌,若是省略skip,會監控出符合以上條件的歷史日誌信息。

    二、帳戶登陸失敗的監控項

wKiom1X2WPawAlHkAAFyJdS4SfA728.jpg

    監控項Name:登陸審覈失敗

    監控項Key填寫以下:

eventlog[Security,,"Failure Audit",,^4625$,,skip]

3、建立觸發器

    一、登錄成功的觸發器

wKiom1X2XSjTftLOAAHnt42-1BY469.jpg

    觸發器的表達式以下:

{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 & {Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0

    表達式的含義爲:若是在60秒內有監控到數據,而且監控內容不包含字符串"Advapi"則觸發告警,若是60秒內沒有新的數據了,則觸發器恢復OK。簡單點說就是,用戶登陸後觸發器觸發至少會持續60秒,若是用戶不斷的登陸成功,間隔小於60秒,則觸發器一直是problem狀態。

       二、帳戶登陸失敗的觸發器

wKioL1X2ZbfC-E3qAAD870y1NkE176.jpg

    觸發器的表達式以下:

{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^4625$,,skip].nodata(60)}=0 & {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^4625$,,skip].str(Advapi)}=0

    表達式的含義爲:若是在60秒內有監控到數據,而且監控內容不包含字符串"Advapi"則觸發告警。若是60秒後沒有新的數據了,則觸發器恢復OK。

    若是有人不斷的惡意破解登陸密碼,你會發現觸發器problem狀態會一直存在。

    監控項和觸發器的介紹就這些了,模板在附件裏,下載後改文件名Template Windows Event Log.xml。


    Zabbix監控Windows日誌之監控磁盤壞塊:http://qicheng0211.blog.51cto.com/3958621/1436344

    Zabbix監控Linux日誌之異常登陸告警:http://qicheng0211.blog.51cto.com/3958621/1624155

相關文章
相關標籤/搜索