目的
zabbix监控windows本地用户或者mstsc登陆windows服务器,避免密码泄露,恶意登陆,信息泄露现象,及时通报给系统管理员。
OS
Windows server 2012Zabbix 4.4Windows server 上两个用户分别为songhongpeng 和administrator
Windows Server 安全日志
打开windows 事件管理器
查看登录成功的事件
查看登录失败的事件
ZABBIX Server配置
- 创建模板
- 创建应用集
- 创建监控项
- 创建触发器
- 告警测试
创建账户登陆成功监控项
可以使用zabbix自带的键值eventlog进行采集,关于各项参数,官网有很明确的介绍
eventlog[Security,,"Success Audit",,^4624$,,skip]
名称:windows login success类型:zabbix客户端(主动式)键值:eventlog[Security,,"SuccessAudit",,^4624$,,skip]参数一 Security:事件的日志名称。参数三 "Success Audit":事件的severity,就是中文审核成功的意思。参数五 ^4624$:这是一个正则表达式,匹配事件ID等于4624的日志。参数七 skip:含义是不监控已产生的历史日志,如果省略skip,会监控出符合以上条件的历史日志信息。信息类型:日志监控间隔:60s历史保留时长7天
创建账户登陆失败监控项
eventlog[Security,,"FailureAudit",,^4625$,,skip]
创建触发器
songhongpeng 账户登陆成功的触发器
administrator账户登陆成功的触发器
以第一个表达式为例
{VEEAMBACKUP-SER:eventlog[Security,,"SuccessAudit",,^4624$,,skip].nodata(60)}=0 and{VEEAMBACKUP-SER:eventlog[Security,,"SuccessAudit",,^4624$,,skip].regexp(songhongpeng)}=1
表达式的含义为:如果在60秒内有监控到数据,并且监控内容包含字符串"songhongpeng"则触发告警,如果60秒内没有新的数据了,则触发器恢复OK。
用户登录后触发器触发至少会持续60秒,如果用户不断的登录成功,间隔小于60秒,则触发器一直是problem状态。
songhongpeng账户登陆失败触发器
administrator账户登陆失败触发器
以第一个表达式为例
{VEEAMBACKUP-SER:eventlog[Security,,"FailureAudit",,^4625$,,skip].nodata(60)}=0 and{VEEAMBACKUP-SER:eventlog[Security,,"FailureAudit",,^4625$,,skip].regexp(songhongpeng)}=1
表达式的含义为:如果在60秒内有监控到数据,并且监控内容包含字符串"songhongpeng"则触发告警,如果60秒内没有新的数据了,则触发器恢复OK。如果有人不断的恶意破解登录密码,你会发现触发器problem状态会一直存在。
触发器告警测试:
mstsc或者登陆本机
