Zabbix日誌監控之監控Windows用戶登陸

    Zabbix監控Windows用戶登陸是經過對Windows日誌的監控來實現。在登陸審覈失敗或者登陸成功時發出告警。

    告警郵件示例：

    下面給出監控思路和步驟：

1、分析登陸日誌

    打開事件查看器，依次選擇「Windows日誌」->「安全」。

    一、登陸成功的日誌

    一般一個登陸成功的日誌有四條：

    其中事件ID爲4624的日誌裏包含登陸帳戶名、登陸源IP和端口等。

    二、帳戶登陸失敗的日誌

    帳戶登陸失敗會產生一條事件ID爲4625的日誌，日誌裏也包含登陸帳戶名、登陸源IP和端口：

    因此，對於「登陸成功」咱們只監控事件ID爲4624的日誌就能夠了，對於「登陸失敗」監控事件ID爲4625的日誌。

2、建立監控項

    一、登錄成功的監控項

    

    

    監控項Name：帳戶登陸成功

    監控項Key填寫以下：

eventlog[Security,,"Success Audit",,^4624$,,skip]

    須要注意：監控項類型選擇Zabbix agent(active)；數據類型選擇Log；監控間隔60秒。

    其中，監控項Key的參數用大括號包裹、用逗號分隔，下面解釋下各參數的含義：

    參數一 Security：事件的日誌名稱。

    參數三 "Success Audit"：事件的severity。

    參數五 ^4624$：這是一個正則表達式，匹配事件ID等於4624的日誌。

    參數七 skip：含義是不監控已產生的歷史日誌，若是省略skip，會監控出符合以上條件的歷史日誌信息。

    二、帳戶登陸失敗的監控項

    監控項Name：登陸審覈失敗

    監控項Key填寫以下：

eventlog[Security,,"Failure Audit",,^4625$,,skip]

3、建立觸發器

    一、登錄成功的觸發器

    觸發器的表達式以下：

{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 & {Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0

    表達式的含義爲：若是在60秒內有監控到數據，而且監控內容不包含字符串"Advapi"則觸發告警，若是60秒內沒有新的數據了，則觸發器恢復OK。簡單點說就是，用戶登陸後觸發器觸發至少會持續60秒，若是用戶不斷的登陸成功，間隔小於60秒，則觸發器一直是problem狀態。

       二、帳戶登陸失敗的觸發器

    觸發器的表達式以下：

{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^4625$,,skip].nodata(60)}=0 & {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^4625$,,skip].str(Advapi)}=0

    表達式的含義爲：若是在60秒內有監控到數據，而且監控內容不包含字符串"Advapi"則觸發告警。若是60秒後沒有新的數據了，則觸發器恢復OK。

    若是有人不斷的惡意破解登陸密碼，你會發現觸發器problem狀態會一直存在。

    監控項和觸發器的介紹就這些了，模板在附件裏，下載後改文件名Template Windows Event Log.xml。

    Zabbix監控Windows日誌之監控磁盤壞塊：http://qicheng0211.blog.51cto.com/3958621/1436344

    Zabbix監控Linux日誌之異常登陸告警：http://qicheng0211.blog.51cto.com/3958621/1624155