Siguiendo con las entradas relacionadas con Zabbix en esta ocasión voy a explicaros como podéis monitorizar los eventos de Windows mediante Zabbix.
Monitorización de eventos
En primer lugar accedemos a nuestra instancia de Zabbix mediante su interfaz web y nos dirigimos a Configuration-Host.
Pinchamos sobre el servidor de Windows en el que queremos llevar a cabo la monitorización de eventos, pulsamos en la opción Items y finalmente en Create item.
En la pantalla de creación de Items rellenamos los siguientes campos:
- Name: nombre que tendrá nuestro Item.
- Type: elegimos Zabbix agent (active). Es importante que el agente que tenemos instalado en el servidor esté configurado como activo (parámetro Server Active=ip servidor zabbix) y tenga comunicación por el puerto 10050 con el servidor de Zabbix.
- Key: aquí utilizamos el comando eventlog que trae incorporado Zabbix y que tiene los siguientes parámetros eventlog[nombre en el visor de eventos,<expresión regular>,<severidad>,<origen>,<id evento>,<máximo líneas log>,<mode>. Os pongo algunos ejemplos:
Monitorizar los eventos Warning, Error y Critical que se produzcan dentro de la categoría System del visor de eventos eventlog[System,,Warning|Error|Critical,,,,skip] Monitorizar los eventos Warning, Error y Critical que se produzcan dentro de la categoría Application del visor de eventos eventlog[Application,,Warning|Error|Critical,,,,skip] Monitorizar los eventos Warning, Error y Critical que se produzcan dentro de la categoría Security del visor de eventos eventlog[Security,,,,,,skip] También podemos monitorizar un evento concreto por ejemplo uno muy típico es el evento 4625 de la categoría Security que nos indicará aquellos intentos de accesos erróneos al servidor eventlog[Security,,,,4625,,skip] Si quisiéramos monitorizar varios id de eventos concretos los separamos por | eventlog[Security,,,,4625|4624,,skip]
- Update interval: lo dejamos en 1m.
- History storage period: lo definiré en 7 días pero esto podéis adaptarlo a vuestras necesidades.
Pulsamos Update.
Y listo pasados unos minutos comprobaremos como nuestro servidor empieza a recoger eventos de nuestro servidor en función de lo que hayamos definido.
Espero os haya sido de utilidad.
Entradas relacionadas
- Instalación Zabbix 5.0 en Ubuntu Server 20.04
- Instalación agente Windows y Linux de Zabbix
- Monitorizar Hypervisor VMware ESXi con Zabbix
- Como monitorizar un proceso de Windows con Zabbix
- Integración de LDAP con Zabbix 5.x
- Configurar Zabbix Dynamic PDF Report en Linux
- Monitorizar SQL Server con Zabbix
Me dedico a la Administración de Sistemas y he creado este blog para compartir mis conocimientos con toda la comunidad y así aportar mi granito de arena y ayudar a todo el que lo necesite.
Hola, se entiende perfecto, gracias por el instructivo, pero me queda una duda, como lo puedo hacer para crear un trigger que se alerte cada vez que aparece por ejemplo el EventID 4625?
Me ayudaria mucho su apoyo.
Hola Juan,
Me apunto tu petición para hacer próximamente una nueva entrada explicando lo que comentas.
Saludos.