一、目的

成都創(chuàng)新互聯(lián)公司是一家專業(yè)提供澄城企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站建設(shè)、網(wǎng)站制作、H5高端網(wǎng)站建設(shè)、小程序制作等業(yè)務(wù)。10年已為澄城眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)絡(luò)公司優(yōu)惠進(jìn)行中。

目的：zabbix監(jiān)控本地用戶或者mstsc登陸windows服務(wù)器，避免密碼泄露，惡意登陸，信息泄露現(xiàn)象，及時通報給系統(tǒng)管理員。注意：此文檔不探討zabbix分布式，調(diào)優(yōu)，監(jiān)控其它服務(wù)等問題。

本實驗有些耗時，走了點彎路，允許轉(zhuǎn)載，請轉(zhuǎn)載請指明鏈接：

renzhiyuan.blog.51cto.com

二、準(zhǔn)備工作：

2.1）zabbix服務(wù)安裝配置（安裝注意事項不探討）

2.2）配置郵件報警（微信，QQ，短信報警不探討）

2.3）修改報警模板（默認(rèn)的報警配置視覺感比較差，不探討）

2.4）客戶端安裝配置zabbix_agent

2.4.1)zabbix客戶端配置

"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.exe"
--config"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.win.conf"

#注冊為系統(tǒng)服務(wù)：

2.4.2）配置zabbix_agent:zabbix_agentd.win.conf

LogFile=D:\zabbix-3.0.5\bin\win64\zabbix_agentd.log
Server=192.168.1.244         #-zabbix主機(jī)
# ListenPort=10050
# ListenIP=0.0.0.0
ListenIP=192.168.1.243       #-本機(jī)ip
#ServerActive=127.0.0.1

2.4.3）防火墻配置：firewall.cpl

#允許10050端口（默認(rèn)端口）

2.4.4）啟動zabbix_agent

2.5）了解windows安全日志：

審核失?。喝绻腥藧阂廨斿e用戶名密碼訪問。

三、服務(wù)器配置：

3.1）新增動作配置：

3.2：創(chuàng)建監(jiān)控項：

3.2.1）賬戶登陸成功監(jiān)控項：

新建應(yīng)用集：Event Log

名稱：賬戶登陸成功

類型：zabbix客戶端（主動式）

鍵值：eventlog[Security,,"Success Audit",,^4624$,,skip]

參數(shù)一 Security：事件的日志名稱。

  參數(shù)三 "Success Audit"：事件的severity。

  參數(shù)五 ^4624$：這是一個正則表達(dá)式，匹配事件ID等于4624的日志。

  參數(shù)七 skip：含義是不監(jiān)控已產(chǎn)生的歷史日志，如果省略skip，會監(jiān)控出符合以上條件的歷史日志信息。

信息類型：日志

監(jiān)控間隔：60s

歷史保留時長7天

3.2.2）賬戶登陸失敗監(jiān)控項：

eventlog[Security,,"Failure Audit",,^6281$,,skip]

3.3）創(chuàng)建觸發(fā)器：

3.3.1）登陸成功的觸發(fā)器：

{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 and
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0

表達(dá)式的含義為：如果在60秒內(nèi)有監(jiān)控到數(shù)據(jù)，并且監(jiān)控內(nèi)容不包含字符串"Advapi"則觸發(fā)告警，如果60秒內(nèi)沒有新的數(shù)據(jù)了，則觸發(fā)器恢復(fù)OK。簡單點說就是，用戶登錄后觸發(fā)器觸發(fā)至少會持續(xù)60秒，如果用戶不斷的登錄成功，間隔小于60秒，則觸發(fā)器一直是problem狀態(tài)。

3.3.2)賬戶登陸失敗觸發(fā)器：

{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].nodata(60)}=0 and {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].str(Advapi)}=0

表達(dá)式的含義為：如果在60秒內(nèi)有監(jiān)控到數(shù)據(jù)，并且監(jiān)控內(nèi)容不包含字符串"Advapi"則觸發(fā)告警。如果60秒后沒有新的數(shù)據(jù)了，則觸發(fā)器恢復(fù)OK。如果有人不斷的惡意破解登錄密碼，你會發(fā)現(xiàn)觸發(fā)器problem狀態(tài)會一直存在。

四、觸發(fā)：

mstsc或者登陸本機(jī)，查收郵件：

注：有相關(guān)博文博友反應(yīng)，這篇文章有一篇和此很相似：http://qicheng0211.blog.51cto.com/3958621/1694583

雖然這里基本思路一致，但是也是有些許不同之處。之前博主確實參考過此篇文章，可流程，思路，監(jiān)控失敗項也是不一樣的，并且我還查了官網(wǎng)。這里將此博文鏈接注明，避免不必要的誤會。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

本文標(biāo)題：Zabbix監(jiān)控報警windows用戶登陸-創(chuàng)新互聯(lián)
新聞來源：http://weahome.cn/article/doegci.html