Siguiendo con las entradas relacionadas con Zabbix en esta ocasión voy a explicaros como podéis monitorizar los eventos de Windows mediante Zabbix.
Monitorización de eventos
En primer lugar accedemos a nuestra instancia de Zabbix mediante su interfaz web y nos dirigimos a Configuration-Host.
Pinchamos sobre el servidor de Windows en el que queremos llevar a cabo la monitorización de eventos, pulsamos en la opción Items y finalmente en Create item.
En la pantalla de creación de Items rellenamos los siguientes campos:
- Name: nombre que tendrá nuestro Item.
- Type: elegimos Zabbix agent (active). Es importante que el agente que tenemos instalado en el servidor esté configurado como activo (parámetro Server Active=ip servidor zabbix) y tenga comunicación por el puerto 10050 con el servidor de Zabbix.
- Key: aquí utilizamos el comando eventlog que trae incorporado Zabbix y que tiene los siguientes parámetros eventlog[nombre en el visor de eventos,<expresión regular>,<severidad>,<origen>,<id evento>,<máximo líneas log>,<mode>. Os pongo algunos ejemplos:
Monitorizar los eventos Warning, Error y Critical que se produzcan dentro de la categoría System del visor de eventos eventlog[System,,Warning|Error|Critical,,,,skip] Monitorizar los eventos Warning, Error y Critical que se produzcan dentro de la categoría Application del visor de eventos eventlog[Application,,Warning|Error|Critical,,,,skip] Monitorizar los eventos Warning, Error y Critical que se produzcan dentro de la categoría Security del visor de eventos eventlog[Security,,,,,,skip] También podemos monitorizar un evento concreto por ejemplo uno muy típico es el evento 4625 de la categoría Security que nos indicará aquellos intentos de accesos erróneos al servidor eventlog[Security,,,,4625,,skip] Si quisiéramos monitorizar varios id de eventos concretos los separamos por | eventlog[Security,,,,4625|4624,,skip]
- Update interval: lo dejamos en 1m.
- History storage period: lo definiré en 7 días pero esto podéis adaptarlo a vuestras necesidades.
Pulsamos Update.
Y listo pasados unos minutos comprobaremos como nuestro servidor empieza a recoger eventos de nuestro servidor en función de lo que hayamos definido.
Espero os haya sido de utilidad.
Entradas relacionadas
- Instalación Zabbix 5.0 en Ubuntu Server 20.04
- Instalación agente Windows y Linux de Zabbix
- Monitorizar Hypervisor VMware ESXi con Zabbix
- Como monitorizar un proceso de Windows con Zabbix
- Integración de LDAP con Zabbix 5.x
- Configurar Zabbix Dynamic PDF Report en Linux
- Monitorizar SQL Server con Zabbix
Me dedico a la Administración de Sistemas y he creado este blog para compartir mis conocimientos con toda la comunidad y así aportar mi granito de arena y ayudar a todo el que lo necesite.
Hola, se entiende perfecto, gracias por el instructivo, pero me queda una duda, como lo puedo hacer para crear un trigger que se alerte cada vez que aparece por ejemplo el EventID 4625?
Me ayudaria mucho su apoyo.
Hola Juan,
Me apunto tu petición para hacer próximamente una nueva entrada explicando lo que comentas.
Saludos.
Que tal Sergio, una duda estoy tratando los logs de las siguientes cadenas:
* eventlog[Security,,,,,,skip]
* eventlog[Security,,,,4779,,skip]
Sin embargo Zabbix, no trae los datos, hay que configurar el archivo zabbix_agentd.conf en el apartado de server active u otra configuración?.
##### Active checks related
### Option: ServerActive
# List of comma delimited IP:port (or DNS name:port) pairs of Zabbix servers and Zabbix proxies for active checks.
# If port is not specified, default port is used.
# IPv6 addresses must be enclosed in square brackets if port for that host is specified.
# If port is not specified, square brackets for IPv6 addresses are optional.
# If this parameter is not specified, active checks are disabled.
# Example: ServerActive=127.0.0.1:20051,zabbix.domain,[::1]:30051,::1,[12fc::1]
#
# Mandatory: no
# Default:
# ServerActive=
ServerActive=127.0.0.1
Hola Diego,
Prueba cambiando este parámetro ServerActive=127.0.0.1 en el fichero de configuración del equipo cliente para que apunte a la ip del servidor de Zabbix. Recuerda reiniciar el servicio después de cambiarlo y tener abierto el puerto 10051 tcp si dispones de algún firewall.
Espero te sirva de ayuda.
Saludos.