阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

Zabbix监控报警Windows用户登陆

299次阅读
没有评论

共计 1767 个字符,预计需要花费 5 分钟才能阅读完成。

一、目的

目的:zabbix 监控本地用户或者 mstsc 登陆 windows 服务器,避免密码泄露,恶意登陆,信息泄露现象,及时通报给系统管理员。注意:此文档不探讨 zabbix 分布式,调优,监控其它服务等问题。

二、准备工作:

2.1)zabbix 服务安装配置(安装注意事项不探讨)

2.2)配置邮件报警(微信,QQ,短信报警不探讨)

2.3)修改报警模板(默认的报警配置视觉感比较差,不探讨)

2.4)客户端安装配置 zabbix_agent

2.4.1)zabbix 客户端配置

"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.exe"
--config"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.win.conf"

# 注册为系统服务:

2.4.2)配置 zabbix_agent:zabbix_agentd.win.conf

LogFile=D:\zabbix-3.0.5\bin\win64\zabbix_agentd.log
Server=192.168.1.244         #-zabbix 主机
# ListenPort=10050
# ListenIP=0.0.0.0
ListenIP=192.168.1.243       #- 本机 ip
#ServerActive=127.0.0.1

2.4.3)防火墙配置:firewall.cpl

# 允许 10050 端口(默认端口)

2.4.4)启动 zabbix_agent

Zabbix 监控报警 Windows 用户登陆

2.5)了解 windows 安全日志:

Zabbix 监控报警 Windows 用户登陆

Zabbix 监控报警 Windows 用户登陆

审核失败:如果有人恶意输错用户名密码访问。

Zabbix 监控报警 Windows 用户登陆

三、服务器配置:

3.1)新增动作配置:

3.2:创建监控项:

3.2.1)账户登陆成功监控项:

新建应用集:Event Log

Zabbix 监控报警 Windows 用户登陆

名称:账户登陆成功

类型:zabbix 客户端(主动式)

键值:eventlog[Security,,”Success Audit”,,^4624$,,skip]

参数一 Security:事件的日志名称。

    参数三 “Success Audit”:事件的 severity。

    参数五 ^4624$:这是一个正则表达式,匹配事件 ID 等于 4624 的日志。

    参数七 skip:含义是不监控已产生的历史日志,如果省略 skip,会监控出符合以上条件的历史日志 信息。

信息类型:日志

监控间隔:60s

历史保留时长 7 天

3.2.2)账户登陆失败监控项:

1
eventlog[Security,,"Failure Audit",,^6281$,,skip]

Zabbix 监控报警 Windows 用户登陆

3.3)创建触发器:

3.3.1)登陆成功的触发器:

{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 and
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0

表达式的含义为:如果在 60 秒内有监控到数据,并且监控内容不包含字符串 ”Advapi” 则触发告警,如果 60 秒内没有新的数据了,则触发器恢复 OK。简单点说就是,用户登录后触发器触发至少会持续 60 秒,如果用户不断的登录成功,间隔小于 60 秒,则触发器一直是 problem 状态。

Zabbix 监控报警 Windows 用户登陆

3.3.2)账户登陆失败触发器:

{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].nodata(60)}=0 and {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].str(Advapi)}=0

表达式的含义为:如果在 60 秒内有监控到数据,并且监控内容不包含字符串 ”Advapi” 则触发告警。如果 60 秒后没有新的数据了,则触发器恢复 OK。如果有人不断的恶意破解登录密码,你会发现触发器 problem 状态会一直存在。

Zabbix 监控报警 Windows 用户登陆

四、触发

mstsc 或者登陆本机,查收邮件:

Zabbix 监控报警 Windows 用户登陆

本文永久更新链接地址:http://www.linuxidc.com/Linux/2017-09/147003.htm

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2022-01-21发表,共计1767字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中