https://yq.aliyun.com/articles/511381

添加登录失败监控项:

特别注意:把类型设置为:文本格式,否则会报类型错误。

eventlog[Security,,"Failure Audit",,^4625$,,skip]

登陆失败触发器:

{testsql2:eventlog[Security,,"Failure Audit",,^4625$,,skip].nodata(60)}=0 and {testsql2:eventlog[Security,,"Failure Audit",,^4625$,,skip].str(Advapi)}=0

************************************************************************************************************************

摘要:     Zabbix监控Windows用户登录是通过对Windows日志的监控来实现。在登录审核失败或者登录成功时发出告警。     告警邮件示例:     下面给出监控思路和步骤: 一、分析登录日志     打开事件查看器,依次选择“Windows日志”->“安全”。

Zabbix监控Windows用户登录是通过对Windows日志的监控来实现。在登录审核失败或者登录成功时发出告警。

    告警邮件示例:

下面给出监控思路和步骤:

一、分析登录日志

打开事件查看器,依次选择“Windows日志”->“安全”。

    1、登录成功的日志

通常一个登录成功的日志有四条:

其中事件ID为4624的日志里包含登录账户名、登录源IP和端口等。

    2、账户登录失败的日志

账户登录失败会产生一条事件ID为4625的日志,日志里也包含登录账户名、登录源IP和端口:

所以,对于“登录成功”我们只监控事件ID为4624的日志就可以了,对于“登录失败”监控事件ID为4625的日志。

二、创建监控项

1、登录成功的监控项

监控项Name:账户登录成功

监控项Key填写如下:

1
eventlog[Security,,"Success Audit",,^4624$,,skip]

需要注意:监控项类型选择Zabbix agent(active);数据类型选择Log;监控间隔60秒。

其中,监控项Key的参数用大括号包裹、用逗号分隔,下面解释下各参数的含义:

参数一 Security:事件的日志名称。

参数三 "Success Audit":事件的severity。

参数五 ^4624$:这是一个正则表达式,匹配事件ID等于4624的日志。

参数七 skip:含义是不监控已产生的历史日志,如果省略skip,会监控出符合以上条件的历史日志信息。

    2、账户登录失败的监控项

监控项Name:登录审核失败

监控项Key填写如下:

1
eventlog[Security,,"Failure Audit",,^4625$,,skip]

三、创建触发器

1、登录成功的触发器

触发器的表达式如下:

1
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 & {Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0

表达式的含义为:如果在60秒内有监控到数据,并且监控内容不包含字符串"Advapi"则触发告警,如果60秒内没有新的数据了,则触发器恢复OK。简单点说就是,用户登录后触发器触发至少会持续60秒,如果用户不断的登录成功,间隔小于60秒,则触发器一直是problem状态。

2、账户登录失败的触发器

触发器的表达式如下:

1
{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^4625$,,skip].nodata(60)}=0 & {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^4625$,,skip].str(Advapi)}=0

表达式的含义为:如果在60秒内有监控到数据,并且监控内容不包含字符串"Advapi"则触发告警。如果60秒后没有新的数据了,则触发器恢复OK。

如果有人不断的恶意破解登录密码,你会发现触发器problem状态会一直存在。

监控项和触发器的介绍就这些了,模板在附件里,下载后改文件名Template Windows Event Log.xml。

Zabbix监控Windows日志之监控磁盘坏块:http://qicheng0211.blog.51cto.com/3958621/1436344

Zabbix监控Linux日志之异常登录告警:http://qicheng0211.blog.51cto.com/3958621/1624155

最新文章

  1. CQOI 2016 k远点对
  2. spring异常提示_2
  3. 【PHP面向对象(OOP)编程入门教程】12.重载新的方法(parent::)
  4. 完美解决VS2003.Net fatal error LNK1201: 写入程序数据库“.pdb”时出错
  5. USB HID描述符【转】
  6. IClassSchemaEdit修改要素类信息
  7. VS2012无法安装cocos2d-x-2.1.4 解决方法及VS2012新建coco2d-x项目(一)
  8. 创业草堂之十:换位思考:假如你是VC
  9. linux(centos7)下SVN服务器如何搭建
  10. require.js按需加载使用简介
  11. 工作流程,编程,调试,性能:Unity游戏开发者应该学习的20个改进技巧
  12. JavaWeb - Apache与Tomcat有什么关系和区别
  13. STM32 USB-三个HID-interface 复合(组合)设备的代码实现-基于固件库(原创)
  14. NOIP考试各种技巧!!
  15. onblur 事件
  16. Navicat工具、pymysql模块 sql注入
  17. spark2.2.1 sql001
  18. Cracking The Coding Interview 5.7
  19. 1.13.Mark1
  20. php根据命令行参数生成配置文件

热门文章

  1. 0-1背包 codeforces 55 D
  2. 定时器setTimeout()的传参方法
  3. 浏览器通过http协议通过nginx访问ftp服务器上的文件
  4. WPF优化体验<一>(转)
  5. sqlserver linux 容器运行
  6. vulcanjs schemas&& collections
  7. tomcat源码阅读之载入器(Loader)
  8. storm之 Storm 工作原理
  9. RK3288 wifi模块打开或关闭5G信号
  10. hello word 应用程序的编写