溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
一、目的
目的:zabbix監控本地用戶或者mstsc登陸windows服務器,避免密碼泄露,惡意登陸,信息泄露現象,及時通報給系統管理員。注意:此文檔不探討zabbix分布式,調優,監控其它服務等問題。
本實驗有些耗時,走了點彎路,允許轉載,請轉載請指明鏈接:
renzhiyuan.blog.51cto.com
二、準備工作:
2.1)zabbix服務安裝配置(安裝注意事項不探討)
2.2)配置郵件報警(微信,QQ,短信報警不探討)
2.3)修改報警模板(默認的報警配置視覺感比較差,不探討)
2.4)客戶端安裝配置zabbix_agent
2.4.1)zabbix客戶端配置
"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.exe" --config"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.win.conf"
#注冊為系統服務:
2.4.2)配置zabbix_agent:zabbix_agentd.win.conf
LogFile=D:\zabbix-3.0.5\bin\win64\zabbix_agentd.log Server=192.168.1.244 #-zabbix主機 # ListenPort=10050 # ListenIP=0.0.0.0 ListenIP=192.168.1.243 #-本機ip #ServerActive=127.0.0.1
2.4.3)防火墻配置:firewall.cpl
#允許10050端口(默認端口)
2.4.4)啟動zabbix_agent
2.5)了解windows安全日志:
審核失敗:如果有人惡意輸錯用戶名密碼訪問。
三、服務器配置:
3.1)新增動作配置:
3.2:創建監控項:
3.2.1)賬戶登陸成功監控項:
新建應用集:Event Log
名稱:賬戶登陸成功
類型:zabbix客戶端(主動式)
鍵值:eventlog[Security,,"Success Audit",,^4624$,,skip]
參數一 Security:事件的日志名稱。
參數三 "Success Audit":事件的severity。
參數五 ^4624$:這是一個正則表達式,匹配事件ID等于4624的日志。
參數七 skip:含義是不監控已產生的歷史日志,如果省略skip,會監控出符合以上條件的歷史日志信息。
信息類型:日志
監控間隔:60s
歷史保留時長7天
3.2.2)賬戶登陸失敗監控項:
eventlog[Security,,"Failure Audit",,^6281$,,skip]
3.3)創建觸發器:
3.3.1)登陸成功的觸發器:
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 and
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0表達式的含義為:如果在60秒內有監控到數據,并且監控內容不包含字符串"Advapi"則觸發告警,如果60秒內沒有新的數據了,則觸發器恢復OK。簡單點說就是,用戶登錄后觸發器觸發至少會持續60秒,如果用戶不斷的登錄成功,間隔小于60秒,則觸發器一直是problem狀態。
3.3.2)賬戶登陸失敗觸發器:
{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].nodata(60)}=0 and {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].str(Advapi)}=0表達式的含義為:如果在60秒內有監控到數據,并且監控內容不包含字符串"Advapi"則觸發告警。如果60秒后沒有新的數據了,則觸發器恢復OK。如果有人不斷的惡意破解登錄密碼,你會發現觸發器problem狀態會一直存在。
四、觸發:
mstsc或者登陸本機,查收郵件:
注:有相關博文博友反應,這篇文章有一篇和此很相似:http://qicheng0211.blog.51cto.com/3958621/1694583
雖然這里基本思路一致,但是也是有些許不同之處。之前博主確實參考過此篇文章,可流程,思路,監控失敗項也是不一樣的,并且我還查了官網。這里將此博文鏈接注明,避免不必要的誤會。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
