溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

Zabbix監(jiān)控報(bào)警windows用戶登陸

發(fā)布時(shí)間:2020-07-15 23:10:12 來(lái)源:網(wǎng)絡(luò) 閱讀:5540 作者:任志遠(yuǎn)Ray 欄目:系統(tǒng)運(yùn)維

一、目的

目的:zabbix監(jiān)控本地用戶或者mstsc登陸windows服務(wù)器,避免密碼泄露,惡意登陸,信息泄露現(xiàn)象,及時(shí)通報(bào)給系統(tǒng)管理員。注意:此文檔不探討zabbix分布式,調(diào)優(yōu),監(jiān)控其它服務(wù)等問(wèn)題。

本實(shí)驗(yàn)有些耗時(shí),走了點(diǎn)彎路,允許轉(zhuǎn)載,請(qǐng)轉(zhuǎn)載請(qǐng)指明鏈接:

renzhiyuan.blog.51cto.com

二、準(zhǔn)備工作:

2.1)zabbix服務(wù)安裝配置(安裝注意事項(xiàng)不探討)

2.2)配置郵件報(bào)警(微信,QQ,短信報(bào)警不探討)

2.3)修改報(bào)警模板(默認(rèn)的報(bào)警配置視覺(jué)感比較差,不探討)

2.4)客戶端安裝配置zabbix_agent

2.4.1)zabbix客戶端配置

"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.exe"
--config"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.win.conf"

#注冊(cè)為系統(tǒng)服務(wù):

2.4.2)配置zabbix_agent:zabbix_agentd.win.conf

LogFile=D:\zabbix-3.0.5\bin\win64\zabbix_agentd.log
Server=192.168.1.244         #-zabbix主機(jī)
# ListenPort=10050
# ListenIP=0.0.0.0
ListenIP=192.168.1.243       #-本機(jī)ip
#ServerActive=127.0.0.1

2.4.3)防火墻配置:firewall.cpl

#允許10050端口(默認(rèn)端口)

2.4.4)啟動(dòng)zabbix_agent

Zabbix監(jiān)控報(bào)警windows用戶登陸

2.5)了解windows安全日志:

Zabbix監(jiān)控報(bào)警windows用戶登陸

Zabbix監(jiān)控報(bào)警windows用戶登陸

審核失敗:如果有人惡意輸錯(cuò)用戶名密碼訪問(wèn)。

Zabbix監(jiān)控報(bào)警windows用戶登陸

三、服務(wù)器配置:

3.1)新增動(dòng)作配置:

3.2:創(chuàng)建監(jiān)控項(xiàng):

3.2.1)賬戶登陸成功監(jiān)控項(xiàng):

新建應(yīng)用集:Event Log

Zabbix監(jiān)控報(bào)警windows用戶登陸

名稱:賬戶登陸成功

類型:zabbix客戶端(主動(dòng)式)

鍵值:eventlog[Security,,"Success Audit",,^4624$,,skip]

參數(shù)一 Security:事件的日志名稱。

    參數(shù)三 "Success Audit":事件的severity。

    參數(shù)五 ^4624$:這是一個(gè)正則表達(dá)式,匹配事件ID等于4624的日志。

    參數(shù)七 skip:含義是不監(jiān)控已產(chǎn)生的歷史日志,如果省略skip,會(huì)監(jiān)控出符合以上條件的歷史日志信息。

信息類型:日志

監(jiān)控間隔:60s

歷史保留時(shí)長(zhǎng)7天

3.2.2)賬戶登陸失敗監(jiān)控項(xiàng):

eventlog[Security,,"Failure Audit",,^6281$,,skip]

Zabbix監(jiān)控報(bào)警windows用戶登陸

3.3)創(chuàng)建觸發(fā)器:

3.3.1)登陸成功的觸發(fā)器:

{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 and
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0

表達(dá)式的含義為:如果在60秒內(nèi)有監(jiān)控到數(shù)據(jù),并且監(jiān)控內(nèi)容不包含字符串"Advapi"則觸發(fā)告警,如果60秒內(nèi)沒(méi)有新的數(shù)據(jù)了,則觸發(fā)器恢復(fù)OK。簡(jiǎn)單點(diǎn)說(shuō)就是,用戶登錄后觸發(fā)器觸發(fā)至少會(huì)持續(xù)60秒,如果用戶不斷的登錄成功,間隔小于60秒,則觸發(fā)器一直是problem狀態(tài)。

Zabbix監(jiān)控報(bào)警windows用戶登陸

3.3.2)賬戶登陸失敗觸發(fā)器:

{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].nodata(60)}=0 and {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].str(Advapi)}=0

表達(dá)式的含義為:如果在60秒內(nèi)有監(jiān)控到數(shù)據(jù),并且監(jiān)控內(nèi)容不包含字符串"Advapi"則觸發(fā)告警。如果60秒后沒(méi)有新的數(shù)據(jù)了,則觸發(fā)器恢復(fù)OK。如果有人不斷的惡意破解登錄密碼,你會(huì)發(fā)現(xiàn)觸發(fā)器problem狀態(tài)會(huì)一直存在。

Zabbix監(jiān)控報(bào)警windows用戶登陸

四、觸發(fā)

mstsc或者登陸本機(jī),查收郵件:

Zabbix監(jiān)控報(bào)警windows用戶登陸


注:有相關(guān)博文博友反應(yīng),這篇文章有一篇和此很相似:http://qicheng0211.blog.51cto.com/3958621/1694583

雖然這里基本思路一致,但是也是有些許不同之處。之前博主確實(shí)參考過(guò)此篇文章,可流程,思路,監(jiān)控失敗項(xiàng)也是不一樣的,并且我還查了官網(wǎng)。這里將此博文鏈接注明,避免不必要的誤會(huì)。


向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI