前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Zabbix监控Windows用户登录报警

Zabbix监控Windows用户登录报警

作者头像
没有故事的陈师傅
发布2019-11-27 15:40:23
2.9K2
发布2019-11-27 15:40:23
举报
文章被收录于专栏:运维开发故事

目的

zabbix监控windows本地用户或者mstsc登陆windows服务器,避免密码泄露,恶意登陆,信息泄露现象,及时通报给系统管理员。

OS

代码语言:javascript
复制
Windows server  2012
Zabbix 4.4
Windows server 上两个用户分别为songhongpeng 和administrator

Windows Server 安全日志

打开windows 事件管理器

查看登录成功的事件

查看登录失败的事件

ZABBIX Server配置

  1. 创建模板
  2. 创建应用集
  3. 创建监控项
  4. 创建触发器
  5. 告警测试

创建账户登陆成功监控项

可以使用zabbix自带的键值eventlog进行采集,关于各项参数,官网有很明确的介绍

代码语言:javascript
复制
eventlog[Security,,"Success Audit",,^4624$,,skip]
代码语言:javascript
复制
名称:windows login success
类型:zabbix客户端(主动式)
键值:eventlog[Security,,"SuccessAudit",,^4624$,,skip]
参数一 Security:事件的日志名称。
参数三 "Success Audit":事件的severity,就是中文审核成功的意思。
参数五 ^4624$:这是一个正则表达式,匹配事件ID等于4624的日志。
参数七 skip:含义是不监控已产生的历史日志,如果省略skip,会监控出符合以上条件的历史日志信息。
信息类型:日志
监控间隔:60s
历史保留时长7天

创建账户登陆失败监控项

代码语言:javascript
复制
eventlog[Security,,"FailureAudit",,^4625$,,skip]

创建触发器

songhongpeng 账户登陆成功的触发器

administrator账户登陆成功的触发器

以第一个表达式为例

代码语言:javascript
复制
{VEEAMBACKUP-SER:eventlog[Security,,"SuccessAudit",,^4624$,,skip].nodata(60)}=0 and{VEEAMBACKUP-SER:eventlog[Security,,"SuccessAudit",,^4624$,,skip].regexp(songhongpeng)}=1

表达式的含义为:如果在60秒内有监控到数据,并且监控内容包含字符串"songhongpeng"则触发告警,如果60秒内没有新的数据了,则触发器恢复OK。 用户登录后触发器触发至少会持续60秒,如果用户不断的登录成功,间隔小于60秒,则触发器一直是problem状态。

songhongpeng账户登陆失败触发器

administrator账户登陆失败触发器

以第一个表达式为例

代码语言:javascript
复制
{VEEAMBACKUP-SER:eventlog[Security,,"FailureAudit",,^4625$,,skip].nodata(60)}=0 and{VEEAMBACKUP-SER:eventlog[Security,,"FailureAudit",,^4625$,,skip].regexp(songhongpeng)}=1

表达式的含义为:如果在60秒内有监控到数据,并且监控内容包含字符串"songhongpeng"则触发告警,如果60秒内没有新的数据了,则触发器恢复OK。如果有人不断的恶意破解登录密码,你会发现触发器problem状态会一直存在。

触发器告警测试

mstsc或者登陆本机

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-11-25,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 运维开发故事 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档