您好,登錄后才能下訂單哦!
一、目的
目的:zabbix監(jiān)控本地用戶或者mstsc登陸windows服務(wù)器,避免密碼泄露,惡意登陸,信息泄露現(xiàn)象,及時(shí)通報(bào)給系統(tǒng)管理員。注意:此文檔不探討zabbix分布式,調(diào)優(yōu),監(jiān)控其它服務(wù)等問(wèn)題。
本實(shí)驗(yàn)有些耗時(shí),走了點(diǎn)彎路,允許轉(zhuǎn)載,請(qǐng)轉(zhuǎn)載請(qǐng)指明鏈接:
renzhiyuan.blog.51cto.com
二、準(zhǔn)備工作:
2.1)zabbix服務(wù)安裝配置(安裝注意事項(xiàng)不探討)
2.2)配置郵件報(bào)警(微信,QQ,短信報(bào)警不探討)
2.3)修改報(bào)警模板(默認(rèn)的報(bào)警配置視覺(jué)感比較差,不探討)
2.4)客戶端安裝配置zabbix_agent
2.4.1)zabbix客戶端配置
"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.exe" --config"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.win.conf"
#注冊(cè)為系統(tǒng)服務(wù):
2.4.2)配置zabbix_agent:zabbix_agentd.win.conf
LogFile=D:\zabbix-3.0.5\bin\win64\zabbix_agentd.log Server=192.168.1.244 #-zabbix主機(jī) # ListenPort=10050 # ListenIP=0.0.0.0 ListenIP=192.168.1.243 #-本機(jī)ip #ServerActive=127.0.0.1
2.4.3)防火墻配置:firewall.cpl
#允許10050端口(默認(rèn)端口)
2.4.4)啟動(dòng)zabbix_agent
2.5)了解windows安全日志:
審核失敗:如果有人惡意輸錯(cuò)用戶名密碼訪問(wèn)。
三、服務(wù)器配置:
3.1)新增動(dòng)作配置:
3.2:創(chuàng)建監(jiān)控項(xiàng):
3.2.1)賬戶登陸成功監(jiān)控項(xiàng):
新建應(yīng)用集:Event Log
名稱:賬戶登陸成功
類型:zabbix客戶端(主動(dòng)式)
鍵值:eventlog[Security,,"Success Audit",,^4624$,,skip]
參數(shù)一 Security:事件的日志名稱。
參數(shù)三 "Success Audit":事件的severity。
參數(shù)五 ^4624$:這是一個(gè)正則表達(dá)式,匹配事件ID等于4624的日志。
參數(shù)七 skip:含義是不監(jiān)控已產(chǎn)生的歷史日志,如果省略skip,會(huì)監(jiān)控出符合以上條件的歷史日志信息。
信息類型:日志
監(jiān)控間隔:60s
歷史保留時(shí)長(zhǎng)7天
3.2.2)賬戶登陸失敗監(jiān)控項(xiàng):
eventlog[Security,,"Failure Audit",,^6281$,,skip]
3.3)創(chuàng)建觸發(fā)器:
3.3.1)登陸成功的觸發(fā)器:
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 and {Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0
表達(dá)式的含義為:如果在60秒內(nèi)有監(jiān)控到數(shù)據(jù),并且監(jiān)控內(nèi)容不包含字符串"Advapi"則觸發(fā)告警,如果60秒內(nèi)沒(méi)有新的數(shù)據(jù)了,則觸發(fā)器恢復(fù)OK。簡(jiǎn)單點(diǎn)說(shuō)就是,用戶登錄后觸發(fā)器觸發(fā)至少會(huì)持續(xù)60秒,如果用戶不斷的登錄成功,間隔小于60秒,則觸發(fā)器一直是problem狀態(tài)。
3.3.2)賬戶登陸失敗觸發(fā)器:
{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].nodata(60)}=0 and {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].str(Advapi)}=0
表達(dá)式的含義為:如果在60秒內(nèi)有監(jiān)控到數(shù)據(jù),并且監(jiān)控內(nèi)容不包含字符串"Advapi"則觸發(fā)告警。如果60秒后沒(méi)有新的數(shù)據(jù)了,則觸發(fā)器恢復(fù)OK。如果有人不斷的惡意破解登錄密碼,你會(huì)發(fā)現(xiàn)觸發(fā)器problem狀態(tài)會(huì)一直存在。
四、觸發(fā):
mstsc或者登陸本機(jī),查收郵件:
注:有相關(guān)博文博友反應(yīng),這篇文章有一篇和此很相似:http://qicheng0211.blog.51cto.com/3958621/1694583
雖然這里基本思路一致,但是也是有些許不同之處。之前博主確實(shí)參考過(guò)此篇文章,可流程,思路,監(jiān)控失敗項(xiàng)也是不一樣的,并且我還查了官網(wǎng)。這里將此博文鏈接注明,避免不必要的誤會(huì)。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。