参考博文:http://blog.51cto.com/qicheng0211/1694583
需求:监控win 2008 的用户登录状态,无论用户登录成功与否都要告警(也可以刷选指定用户、指定时间内)
Zabbix监控Windows用户登录是通过对Windows日志的监控来实现。在登录审核失败或者登录成功时发出告警。
监控win 2008 的登录状况需要需要使用主动模式;因为只有主动模式下才有eventlog 参数可选!!!
1、查看日志相关ID
管理工具---事件查看器---Windows日志----安全:
登录成功的ID为:4624 登录失败的ID为:4625
2、设置监控项
eventlog[Security,,"Success Audit",,^4624$,,skip]
3、阈值设置
{bomingtouzi.win01:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 and
{bomingtouzi.win01:eventlog[Security,,"Success Audit",,^4624$,,skip].regexp(administrator,1)}=0
注释: 如果在60秒内有监控到数据,并且监控内容不包含字符串"administrator"则触发告警,如果60秒内没有新的数据了,则触发器恢复OK。简单点说就是,用户登录后触发器触发至少会持续60秒,如果用户不断的登录成功,间隔小于60秒,则触发器一直是problem状态。
如果有人不断的恶意破解登录密码,你会发现触发器problem状态会一直存在。
