Q&A问答
Q:Zabbix能否监控报警windows用户登陆?
A见以下详情:
一.目的:

zabbix监控本地用户或者mstsc登陆windows服务器,避免密码泄露,恶意登陆,信息泄露现象,及时通报给系统管理员。注意:此文档不探讨zabbix分布式,调优,监控其它服务等问题。
二.准备工作:

2.1)zabbix服务安装配置(安装注意事项不探讨)

2.2)配置邮件报警(微信,QQ,短信报警不探讨)

2.3)修改报警模板(默认的报警配置视觉感比较差,不探讨)

2.4)客户端安装配置zabbix_agent

2.4.1)zabbix客户端配置

1
2
"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.exe"
--config"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.win.conf"

#注册为系统服务:

2.4.2)配置zabbix_agent:zabbix_agentd.win.conf

2.4.3)防火墙配置:firewall.cpl

#允许10050端口(默认端口)

2.4.4)启动zabbix_agent

wKiom1h8jI2TRwStAAAZX4N4-kw086.png-wh_50

2.5)了解windows安全日志:

1.png

wKiom1h8jPPh73XdAACPUu3a_XY591.png-wh_50

审核失败:如果有人恶意输错用户名密码访问。

wKioL1h8jRmTHrpkAABOzIw0nCU877.png-wh_50

三.服务器配置:

3.1)新增动作配置:

3.2:创建监控项:

3.2.1)账户登陆成功监控项:

新建应用集:Event Log

1.png

名称:账户登陆成功

类型:zabbix客户端(主动式)

键值:eventlog[Security,,"Success Audit",,^4624$,,skip]

参数一 Security:事件的日志名称。

参数三 "Success Audit":事件的severity。

参数五 ^4624$:这是一个正则表达式,匹配事件ID等于4624的日志。

参数七 skip:含义是不监控已产生的历史日志,如果省略skip,会监控出符合以上条件的历史日志信息。

信息类型:日志

监控间隔:60s

历史保留时长7天

3.2.2)账户登陆失败监控项:

1 eventlog[Security,,"Failure Audit",,^6281$,,skip]

2.png

3.3)创建触发器:

3.3.1)登陆成功的触发器:

1
2
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 and
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0

表达式的含义为:如果在60秒内有监控到数据,并且监控内容不包含字符串"Advapi"则触发告警,如果60秒内没有新的数据了,则触发器恢复OK。简单点说就是,用户登录后触发器触发至少会持续60秒,如果用户不断的登录成功,间隔小于60秒,则触发器一直是problem状态。

3.png

3.3.2)账户登陆失败触发器:


{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].nodata(60)}=0 
and {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].str(Advapi)}=0

表达式的含义为:如果在60秒内有监控到数据,并且监控内容不包含字符串"Advapi"则触发告警。如果60秒后没有新的数据了,则触发器恢复OK。如果有人不断的恶意破解登录密码,你会发现触发器problem状态会一直存在。

4.png

四.触发:

mstsc或者登陆本机,查收邮件:

wKioL1h8jeTSShkXAAErodtPnEs242.png-wh_50


*本文来源:renzhiyuan.blog.51cto.com
在线留言