Zabbix監控報警windows使用者登陸

2021-09-04 11:15:26 字數 2732 閱讀 5609

一、目的

目的:zabbix監控本地使用者或者mstsc登陸windows伺服器,避免密碼洩露,惡意登陸,資訊洩露現象,及時通報給系統管理員。注意:此文件不**zabbix分布式,調優,監控其它服務等問題。

renzhiyuan.blog.51cto.com

二、準備工作:

2.1)zabbix服務安裝配置(安裝注意事項不**)

2.3)修改報警模板(預設的報警配置視覺感比較差,不**)

2.4)客戶端安裝配置zabbix_agent

2.4.1)zabbix客戶端配置

"d:\zabbix-3.0.5\bin\win64\zabbix_agentd.exe"

--config"d:\zabbix-3.0.5\bin\win64\zabbix_agentd.win.conf"

#註冊為系統服務:

2.4.2)配置zabbix_agent:zabbix_agentd.win.conf

logfile=d:\zabbix-3.0.5\bin\win64\zabbix_agentd.log

server=192.168.1.244         #-zabbix主機

# listenport=10050

# listenip=0.0.0.0

listenip=192.168.1.243       #-本機ip

#serveractive=127.0.0.1

2.4.3)防火牆配置:firewall.cpl

#允許10050埠(預設埠)

2.4.4)啟動zabbix_agent

2.5)了解windows安全日誌:

審核失敗:如果有人惡意輸錯使用者名稱密碼訪問。

三、伺服器配置:

3.1)新增動作配置:

3.2:建立監控項:

3.2.1)賬戶登陸成功監控項:

新建應用集:event log

名稱:賬戶登陸成功

型別:zabbix客戶端(主動式)

鍵值:eventlog[security,,"success audit",,^4624$,,skip]

引數一 security:事件的日誌名稱。

引數三 "success audit":事件的severity。

引數五 ^4624$:這是乙個正規表示式,匹配事件id等於4624的日誌。

引數七 skip:含義是不監控已產生的歷史日誌,如果省略skip,會監控出符合以上條件的歷史日誌

資訊。 資訊型別:日誌

監控間隔:60s

歷史保留時長7天

3.2.2)賬戶登陸失敗監控項:

3.3)建立觸發器:

3.3.1)登陸成功的觸發器:

=0 and

=0

表示式的含義為:如果在60秒內有監控到資料,並且監控內容不包含字串"advapi"則觸發告警,如果60秒內沒有新的資料了,則觸發器恢復ok。簡單點說就是,使用者登入後觸發器觸發至少會持續60秒,如果使用者不斷的登入成功,間隔小於60秒,則觸發器一直是problem狀態。

3.3.2)賬戶登陸失敗觸發器:

=0 and =0
表示式的含義為:如果在60秒內有監控到資料,並且監控內容不包含字串"advapi"則觸發告警。如果60秒後沒有新的資料了,則觸發器恢復ok。如果有人不斷的惡意破解登入密碼,你會發現觸發器problem狀態會一直存在。

四、觸發

mstsc或者登陸本機,查收郵件:

注:有相關博文博友反應,這篇文章有一篇和此很相似:

雖然這裡基本思路一致,但是也是有些許不同之處。

之前博主確實參考過此篇文章,可流程,思路,監控失敗項也是不一樣的,並且我還查了官網。這裡將此博文鏈結註明,避免不必要的誤會。

zabbix監控之簡訊報警

編寫簡訊報警指令碼 在zabbix安裝目錄這個資料夾裡 alertscripts 建立sendsms.sh指令碼 description zabbix簡訊告警指令碼 notes 簡訊閘道器使用了創藍簡訊 指令碼的日誌檔案 logfile tmp sms.log logfile exec 1 logf...

zabbix應用之監控磁碟壞塊 windows

za bbix 支援對windows事件日誌的監控。利用zabbix監控,在事件日誌 現磁碟錯誤時,zabbix及時發出告警資訊。一 事件檢視器 事件檢視器是windows系統提供的乙個系統安全監視工具。在硬體 軟體或者系統出現問題的時候,利用事件檢視器,可以方便的對故障資訊進行分析 查詢具體原因。...

zabbix郵件報警

常完美的選擇 使用簡單並且功能強大.這個被設計用在php bash perl和web站點使用。以上是sendemail的簡單介紹,千萬不要和sendmail搞混掉了。1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 root server wget root server ta...