Zabbix监控Windows用户登录报警
目的
zabbix监控windows本地用户或者mstsc登陆windows服务器,避免密码泄露,恶意登陆,信息泄露现象,及时通报给系统管理员。
OS
Windows server 2012
Zabbix 4.4
Windows server 上两个用户分别为songhongpeng 和administratorWindows Server 安全日志
打开windows 事件管理器
查看登录成功的事件
查看登录失败的事件
ZABBIX Server配置
- 创建模板
- 创建应用集
- 创建监控项
- 创建触发器
- 告警测试
创建账户登陆成功监控项
可以使用zabbix自带的键值eventlog进行采集,关于各项参数,官网有很明确的介绍
eventlog[Security,,"Success Audit",,^4624$,,skip]
名称:windows login success
类型:zabbix客户端(主动式)
键值:eventlog[Security,,"SuccessAudit",,^4624$,,skip]
参数一 Security:事件的日志名称。
参数三 "Success Audit":事件的severity,就是中文审核成功的意思。
参数五 ^4624$:这是一个正则表达式,匹配事件ID等于4624的日志。
参数七 skip:含义是不监控已产生的历史日志,如果省略skip,会监控出符合以上条件的历史日志信息。
信息类型:日志
监控间隔:60s
历史保留时长7天创建账户登陆失败监控项
eventlog[Security,,"FailureAudit",,^4625$,,skip]
创建触发器
songhongpeng 账户登陆成功的触发器
administrator账户登陆成功的触发器
以第一个表达式为例
{VEEAMBACKUP-SER:eventlog[Security,,"SuccessAudit",,^4624$,,skip].nodata(60)}=0 and{VEEAMBACKUP-SER:eventlog[Security,,"SuccessAudit",,^4624$,,skip].regexp(songhongpeng)}=1表达式的含义为:如果在60秒内有监控到数据,并且监控内容包含字符串"songhongpeng"则触发告警,如果60秒内没有新的数据了,则触发器恢复OK。 用户登录后触发器触发至少会持续60秒,如果用户不断的登录成功,间隔小于60秒,则触发器一直是problem状态。
songhongpeng账户登陆失败触发器
administrator账户登陆失败触发器
以第一个表达式为例
{VEEAMBACKUP-SER:eventlog[Security,,"FailureAudit",,^4625$,,skip].nodata(60)}=0 and{VEEAMBACKUP-SER:eventlog[Security,,"FailureAudit",,^4625$,,skip].regexp(songhongpeng)}=1表达式的含义为:如果在60秒内有监控到数据,并且监控内容包含字符串"songhongpeng"则触发告警,如果60秒内没有新的数据了,则触发器恢复OK。如果有人不断的恶意破解登录密码,你会发现触发器problem状态会一直存在。
触发器告警测试:
mstsc或者登陆本机
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-11-25,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
腾讯云开发者
