Zabbix監控Windows用戶登陸是經過對Windows日誌的監控來實現。在登陸審覈失敗或者登陸成功時發出告警。正則表達式
告警郵件示例:api
下面給出監控思路和步驟:安全
1、分析登陸日誌ide
打開事件查看器,依次選擇「Windows日誌」->「安全」。spa
一、登陸成功的日誌3d
一般一個登陸成功的日誌有四條:日誌
其中事件ID爲4624的日誌裏包含登陸帳戶名、登陸源IP和端口等。xml
二、帳戶登陸失敗的日誌blog
帳戶登陸失敗會產生一條事件ID爲4625的日誌,日誌裏也包含登陸帳戶名、登陸源IP和端口:事件
因此,對於「登陸成功」咱們只監控事件ID爲4624的日誌就能夠了,對於「登陸失敗」監控事件ID爲4625的日誌。
2、建立監控項
一、登錄成功的監控項
監控項Name:帳戶登陸成功
監控項Key填寫以下:
eventlog[Security,,"Success Audit",,^4624$,,skip]
須要注意:監控項類型選擇Zabbix agent(active);數據類型選擇Log;監控間隔60秒。
其中,監控項Key的參數用大括號包裹、用逗號分隔,下面解釋下各參數的含義:
參數一 Security:事件的日誌名稱。
參數三 "Success Audit":事件的severity。
參數五 ^4624$:這是一個正則表達式,匹配事件ID等於4624的日誌。
參數七 skip:含義是不監控已產生的歷史日誌,若是省略skip,會監控出符合以上條件的歷史日誌信息。
二、帳戶登陸失敗的監控項
監控項Name:登陸審覈失敗
監控項Key填寫以下:
eventlog[Security,,"Failure Audit",,^4625$,,skip]
3、建立觸發器
一、登錄成功的觸發器
觸發器的表達式以下:
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 & {Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0
表達式的含義爲:若是在60秒內有監控到數據,而且監控內容不包含字符串"Advapi"則觸發告警,若是60秒內沒有新的數據了,則觸發器恢復OK。簡單點說就是,用戶登陸後觸發器觸發至少會持續60秒,若是用戶不斷的登陸成功,間隔小於60秒,則觸發器一直是problem狀態。
二、帳戶登陸失敗的觸發器
觸發器的表達式以下:
{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^4625$,,skip].nodata(60)}=0 & {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^4625$,,skip].str(Advapi)}=0
表達式的含義爲:若是在60秒內有監控到數據,而且監控內容不包含字符串"Advapi"則觸發告警。若是60秒後沒有新的數據了,則觸發器恢復OK。
若是有人不斷的惡意破解登陸密碼,你會發現觸發器problem狀態會一直存在。
監控項和觸發器的介紹就這些了,模板在附件裏,下載後改文件名Template Windows Event Log.xml。
Zabbix監控Windows日誌之監控磁盤壞塊:http://qicheng0211.blog.51cto.com/3958621/1436344
Zabbix監控Linux日誌之異常登陸告警:http://qicheng0211.blog.51cto.com/3958621/1624155