Zabbix Üzerinde Windows Event Viewer Log Monitoring

Zabbix Üzerinde Windows Event Viewer Log Monitoring

Merhaba,

Zabbix’de import yöntemi ile bir çok template yükleyerek Windows cihazlarda çeşitli izlemeler yapabiliyoruz. Fakat Event Viewer gibi log tabanlı uygulamaları izlemek için manuel itemler oluşturmamız gerekmekte. Windows’un çeşitli olay günlüğü kategorileri bulunur, bizler de security olay günlüğünü denetleriz. Diğer yaygın loglar System ve Application’dır.

Şimdi Configuration / Hosts’a girin, Windows host’un yanındaki Items’a tıklayın, create item’i seçin. Aşağıdakileri şu şekilde doldurun:

 

     Name: Windows $1 log

  • Type: Zabbix agent (active)
  • Key: eventlog[Security,,,,,,skip]
  • Type of information: Log
  • Update interval: 1

 

Tüyo: Windows’taki olay günlüğü denetlemesi, tıpkı normal log dosyası denetlemesi gibi aktif bir item gibi çalışır. Doldurduktan sonra aşağıdaki Add butonuna tıklayın. Burada belirttiğimiz son değişken Skip, agent’in bütün güvenlik loglarını okumasını engelleyecektir. Monitoring / Latest data ya girin ve Windows Security Log itemi için History’e tıklayın.

 

Tüyo: Eğer hiç bir değer çıkmazsa Windows sistemine giriş yapın, bu logdaki bazı girdileri oluşturacaktır. Normal log dosyası denetimine nazaran LOCAL TIME kolonundaki otomatik data popülasyonu da dahil birkaç önemli değişiklikler şynlardır kaynak, önem derecesi ve event ID’nin depolanması. Aslında agent sevindesinde bunların bazılarını filtreleyebiliriz ve bütün girdileri servera göndermek zorunda kalmayız. Şimdi biraz daha detaylı olarak item anahtar değişkenlerini ele alalım. Genel anahtar dizilimi şöyledir: eventlog[name,<regexp>,<severity>,<source>,<eventid>,<maxlines>,<mode>]

İkinci değişken regexp, normal log dostasının denetimindeki gibi işlem görür, log girdisine karşı düzenli bir ifade eşleştirir. The maxlines ve  mode değişkenleri tıpkı log ve  logrt  item anahtarları için çalıştıkları şekilde çalışırlar. Önem derecesi, source ve  eventid bileşenleri eventlog anahatarına özellerdir ve hepsi ilişkin alana karşı eşleştirilmiş düzenli ifadelerdir. Böylece, agent tarafından eventlog’u kapsamlı olarak filtreleyebiliriz ama insanlar bazen yaygın bir hatada bulunurlar, bunların tam eşleşmiş diziler değil de düzenli ifadeler olduğunu unuturlar. Pekala, aşağıdaki item anahtarı yalnızca 13’ün ID’si ile olayları birleştirmez, şöyle ki;

eventlog[Security,,,,13]

133, 1333 ve 913’ün ID’leriyle olayları da eşleştirir. 13 ve yalnızca 13’ü eşleştirmek için düzenli ifadeyi bağlamalıyız:

eventlog[Security,,,,^13$]

Tüyo: Bunun severity ve source değişkenleri için de geçerlidir tabi istenmeden girilen bir değerin eşleşmesi daha az olasıdır, tam bir eşleşme isteniyorsa ifadenin bağlandığından emin olunmalı.

Share

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir