https://yq.aliyun.com/articles/511381

添加登录失败监控项:

特别注意:把类型设置为:文本格式,否则会报类型错误。

eventlog[Security,,"Failure Audit",,^4625$,,skip]

登陆失败触发器:

{testsql2:eventlog[Security,,"Failure Audit",,^4625$,,skip].nodata(60)}=0 and {testsql2:eventlog[Security,,"Failure Audit",,^4625$,,skip].str(Advapi)}=0

************************************************************************************************************************

摘要:     Zabbix监控Windows用户登录是通过对Windows日志的监控来实现。在登录审核失败或者登录成功时发出告警。     告警邮件示例:     下面给出监控思路和步骤: 一、分析登录日志     打开事件查看器,依次选择“Windows日志”->“安全”。

Zabbix监控Windows用户登录是通过对Windows日志的监控来实现。在登录审核失败或者登录成功时发出告警。

    告警邮件示例:

下面给出监控思路和步骤:

一、分析登录日志

打开事件查看器,依次选择“Windows日志”->“安全”。

    1、登录成功的日志

通常一个登录成功的日志有四条:

其中事件ID为4624的日志里包含登录账户名、登录源IP和端口等。

    2、账户登录失败的日志

账户登录失败会产生一条事件ID为4625的日志,日志里也包含登录账户名、登录源IP和端口:

所以,对于“登录成功”我们只监控事件ID为4624的日志就可以了,对于“登录失败”监控事件ID为4625的日志。

二、创建监控项

1、登录成功的监控项

监控项Name:账户登录成功

监控项Key填写如下:

1
eventlog[Security,,"Success Audit",,^4624$,,skip]

需要注意:监控项类型选择Zabbix agent(active);数据类型选择Log;监控间隔60秒。

其中,监控项Key的参数用大括号包裹、用逗号分隔,下面解释下各参数的含义:

参数一 Security:事件的日志名称。

参数三 "Success Audit":事件的severity。

参数五 ^4624$:这是一个正则表达式,匹配事件ID等于4624的日志。

参数七 skip:含义是不监控已产生的历史日志,如果省略skip,会监控出符合以上条件的历史日志信息。

    2、账户登录失败的监控项

监控项Name:登录审核失败

监控项Key填写如下:

1
eventlog[Security,,"Failure Audit",,^4625$,,skip]

三、创建触发器

1、登录成功的触发器

触发器的表达式如下:

1
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 & {Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0

表达式的含义为:如果在60秒内有监控到数据,并且监控内容不包含字符串"Advapi"则触发告警,如果60秒内没有新的数据了,则触发器恢复OK。简单点说就是,用户登录后触发器触发至少会持续60秒,如果用户不断的登录成功,间隔小于60秒,则触发器一直是problem状态。

2、账户登录失败的触发器

触发器的表达式如下:

1
{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^4625$,,skip].nodata(60)}=0 & {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^4625$,,skip].str(Advapi)}=0

表达式的含义为:如果在60秒内有监控到数据,并且监控内容不包含字符串"Advapi"则触发告警。如果60秒后没有新的数据了,则触发器恢复OK。

如果有人不断的恶意破解登录密码,你会发现触发器problem状态会一直存在。

监控项和触发器的介绍就这些了,模板在附件里,下载后改文件名Template Windows Event Log.xml。

Zabbix监控Windows日志之监控磁盘坏块:http://qicheng0211.blog.51cto.com/3958621/1436344

Zabbix监控Linux日志之异常登录告警:http://qicheng0211.blog.51cto.com/3958621/1624155

zabbix监控windows用户登陆情况的更多相关文章

  1. zabbix监控之用户及用户组

    一.概述 Zabbix 中的所有用户都通过 Web 前端去访问 Zabbix 应用程序.并为每个用户分配唯一的登陆名和密码. 所有用户的密码都被加密并储存于 Zabbix 数据库中.用户不能使用其用户 ...

  2. zabbix监控windows主机网卡流量

    监控windows主机网卡流量 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任.     欢迎加入:高级运维工程师之路 598432640 客户端配置:(172.30.1.120,wi ...

  3. zabbix监控windows服务器

    Zabbix agent 在windows上安装部署 1.  下载与解压 地址: http://www.zabbix.com/downloads/2.4.0/zabbix_agents_2.4.0.w ...

  4. zabbix监控windows磁盘空间

    监控windows磁盘空间,不是百分比. 当windows系统添加相应的windows模板后,会自动生成检测系统空间的监控项,在应用集(Filessystem)里面,Free disk space o ...

  5. zabbix监控windows agent安装配置

    下载Windows的zabbix客户端 下载地址:http://www.zabbix.com/download.php 从官方下载Zabbix Agent后,压缩包里面有2个目录,bin和conf,c ...

  6. Zabbix监控windows的CPU利用率和其他资源

    zabbix的WEB端--配置-模板--Template OS Windows--项目--创建项目 名称:UserPerfCountercpu 键值:UserPerfCountercpu 数据类型:数 ...

  7. zabbix监控windows系统CPU使用率

    参考网站:https://blog.csdn.net/reblue520/article/details/76287113 Zabbix 自带的模块没有 CPU 使用率(百分比)这个监控项,我们可以通 ...

  8. zabbix监控windows

    windows  版zabbix_agent下载地址: https://www.zabbix.com/download_agents 解压,有bin和conf两个文件夹 配置: 在windows被监控 ...

  9. Zabbix监控 windows agent安装配置

    下载Windows的zabbix客户端 载地址:http://www.zabbix.com/download.php 选择windows版本的agent下载 从官方下载Zabbix Agent后,压缩 ...

随机推荐

  1. 【转】Python判断字符串是否为字母或者数字

    str_1 = " str_2 = "Abc" str_3 = "123Abc" #用isdigit函数判断是否数字 print(str_1.isdi ...

  2. Mybatis的mapper文件中$和#的用法及区别详解

    https://www.2cto.com/database/201806/752139.html用了一段时间的Mybatis了,对于$和#的用法老是很迷糊,特此记下加深记忆. 简单来说 #{} 会在将 ...

  3. LG1600 天天爱跑步

    题意 分析 对一个(s,t)查询,令f=lca(s,t),则操作可化为(s,f),(f,t). 考虑观察到的情况,若x在s到t的路径上,且x观察到,则 \[ \textrm{dep}_s-\textr ...

  4. asp.net 导出excel的一种方法

    项目用到的一种导出excel 的方法予以记录:(具体的业务类可更具情况替换使用) protected void Export(string filename, List<ComponentCon ...

  5. C语言面试题5

    C语言面试宝典 第一部分:基本概念及其它问答题 1.关键字static的作用是什么? 这个简单的问题很少有人能回答完全.在C语言中,关键字static有三个明显的作用: 1). 在函数体,一个被声明为 ...

  6. mime type 类型名字应该用多长的字段?

    在使用 FastAdmin 时有 mimetype 字段使用了 50 长度,有小伙伴反应,不够. 在 Linux 服务器上时 xlsx 文件的 mimetype  是 application/vnd. ...

  7. FP-growth算法发现频繁项集(二)——发现频繁项集

    上篇介绍了如何构建FP树,FP树的每条路径都满足最小支持度,我们需要做的是在一条路径上寻找到更多的关联关系. 抽取条件模式基 首先从FP树头指针表中的单个频繁元素项开始.对于每一个元素项,获得其对应的 ...

  8. some ideas

    1. 3d camera h/w: 单反+projector s/w: 抓图 -> 3d成像 -> 3d显示 -->  3d编辑(?具体要那些功能)--> to 3d prin ...

  9. dkhadoop的自然语言处理技术介绍

    这段时间一直在接触学习hadoop方面的知识,所以说对自然语言处理技术也是做了一些了解.网络上关于自然语言处理技术的分享文章很多,今天就给大家分享一下HanLP方面的内容. 自然语言处理技术其实是所有 ...

  10. google code 或 git 免用户名和密码 .netrc 在windows中的操作 _netrc

    1.首先用不包含用户名URL CLONE “git clone https://code.google.com/p/YourProjName/” .而不能用 “git clone https://Yo ...