十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
一、目的
成都创新互联公司是一家专业提供澄城企业网站建设,专注与成都网站建设、网站制作、H5高端网站建设、小程序制作等业务。10年已为澄城众多企业、政府机构等服务。创新互联专业网络公司优惠进行中。目的:zabbix监控本地用户或者mstsc登陆windows服务器,避免密码泄露,恶意登陆,信息泄露现象,及时通报给系统管理员。注意:此文档不探讨zabbix分布式,调优,监控其它服务等问题。
本实验有些耗时,走了点弯路,允许转载,请转载请指明链接:
renzhiyuan.blog.51cto.com
二、准备工作:
2.1)zabbix服务安装配置(安装注意事项不探讨)
2.2)配置邮件报警(微信,QQ,短信报警不探讨)
2.3)修改报警模板(默认的报警配置视觉感比较差,不探讨)
2.4)客户端安装配置zabbix_agent
2.4.1)zabbix客户端配置
"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.exe" --config"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.win.conf"
#注册为系统服务:
2.4.2)配置zabbix_agent:zabbix_agentd.win.conf
LogFile=D:\zabbix-3.0.5\bin\win64\zabbix_agentd.log Server=192.168.1.244 #-zabbix主机 # ListenPort=10050 # ListenIP=0.0.0.0 ListenIP=192.168.1.243 #-本机ip #ServerActive=127.0.0.1
2.4.3)防火墙配置:firewall.cpl
#允许10050端口(默认端口)
2.4.4)启动zabbix_agent
2.5)了解windows安全日志:
审核失败:如果有人恶意输错用户名密码访问。
三、服务器配置:
3.1)新增动作配置:
3.2:创建监控项:
3.2.1)账户登陆成功监控项:
新建应用集:Event Log
名称:账户登陆成功
类型:zabbix客户端(主动式)
键值:eventlog[Security,,"Success Audit",,^4624$,,skip]
参数一 Security:事件的日志名称。
参数三 "Success Audit":事件的severity。
参数五 ^4624$:这是一个正则表达式,匹配事件ID等于4624的日志。
参数七 skip:含义是不监控已产生的历史日志,如果省略skip,会监控出符合以上条件的历史日志信息。
信息类型:日志
监控间隔:60s
历史保留时长7天
3.2.2)账户登陆失败监控项:
eventlog[Security,,"Failure Audit",,^6281$,,skip]
3.3)创建触发器:
3.3.1)登陆成功的触发器:
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 and {Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0
表达式的含义为:如果在60秒内有监控到数据,并且监控内容不包含字符串"Advapi"则触发告警,如果60秒内没有新的数据了,则触发器恢复OK。简单点说就是,用户登录后触发器触发至少会持续60秒,如果用户不断的登录成功,间隔小于60秒,则触发器一直是problem状态。
3.3.2)账户登陆失败触发器:
{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].nodata(60)}=0 and {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].str(Advapi)}=0
表达式的含义为:如果在60秒内有监控到数据,并且监控内容不包含字符串"Advapi"则触发告警。如果60秒后没有新的数据了,则触发器恢复OK。如果有人不断的恶意破解登录密码,你会发现触发器problem状态会一直存在。
四、触发:
mstsc或者登陆本机,查收邮件:
注:有相关博文博友反应,这篇文章有一篇和此很相似:http://qicheng0211.blog.51cto.com/3958621/1694583
虽然这里基本思路一致,但是也是有些许不同之处。之前博主确实参考过此篇文章,可流程,思路,监控失败项也是不一样的,并且我还查了官网。这里将此博文链接注明,避免不必要的误会。
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。