一、目的

成都創新互聯公司是一家專業提供澄城企業網站建設,專注與成都網站建設、網站制作、H5高端網站建設、小程序制作等業務。10年已為澄城眾多企業、政府機構等服務。創新互聯專業網絡公司優惠進行中。

目的：zabbix監控本地用戶或者mstsc登陸windows服務器，避免密碼泄露，惡意登陸，信息泄露現象，及時通報給系統管理員。注意：此文檔不探討zabbix分布式，調優，監控其它服務等問題。

本實驗有些耗時，走了點彎路，允許轉載，請轉載請指明鏈接：

renzhiyuan.blog.51cto.com

二、準備工作：

2.1）zabbix服務安裝配置（安裝注意事項不探討）

2.2）配置郵件報警（微信，QQ，短信報警不探討）

2.3）修改報警模板（默認的報警配置視覺感比較差，不探討）

2.4）客戶端安裝配置zabbix_agent

2.4.1)zabbix客戶端配置

"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.exe"
--config"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.win.conf"

#注冊為系統服務：

2.4.2）配置zabbix_agent:zabbix_agentd.win.conf

LogFile=D:\zabbix-3.0.5\bin\win64\zabbix_agentd.log
Server=192.168.1.244         #-zabbix主機
# ListenPort=10050
# ListenIP=0.0.0.0
ListenIP=192.168.1.243       #-本機ip
#ServerActive=127.0.0.1

2.4.3）防火墻配置：firewall.cpl

#允許10050端口（默認端口）

2.4.4）啟動zabbix_agent

2.5）了解windows安全日志：

審核失?。喝绻腥藧阂廨斿e用戶名密碼訪問。

三、服務器配置：

3.1）新增動作配置：

3.2：創建監控項：

3.2.1）賬戶登陸成功監控項：

新建應用集：Event Log

名稱：賬戶登陸成功

類型：zabbix客戶端（主動式）

鍵值：eventlog[Security,,"Success Audit",,^4624$,,skip]

參數一 Security：事件的日志名稱。

  參數三 "Success Audit"：事件的severity。

  參數五 ^4624$：這是一個正則表達式，匹配事件ID等于4624的日志。

  參數七 skip：含義是不監控已產生的歷史日志，如果省略skip，會監控出符合以上條件的歷史日志信息。

信息類型：日志

監控間隔：60s

歷史保留時長7天

3.2.2）賬戶登陸失敗監控項：

eventlog[Security,,"Failure Audit",,^6281$,,skip]

3.3）創建觸發器：

3.3.1）登陸成功的觸發器：

{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 and
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0

表達式的含義為：如果在60秒內有監控到數據，并且監控內容不包含字符串"Advapi"則觸發告警，如果60秒內沒有新的數據了，則觸發器恢復OK。簡單點說就是，用戶登錄后觸發器觸發至少會持續60秒，如果用戶不斷的登錄成功，間隔小于60秒，則觸發器一直是problem狀態。

3.3.2)賬戶登陸失敗觸發器：

{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].nodata(60)}=0 and {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].str(Advapi)}=0

表達式的含義為：如果在60秒內有監控到數據，并且監控內容不包含字符串"Advapi"則觸發告警。如果60秒后沒有新的數據了，則觸發器恢復OK。如果有人不斷的惡意破解登錄密碼，你會發現觸發器problem狀態會一直存在。

四、觸發：

mstsc或者登陸本機，查收郵件：

注：有相關博文博友反應，這篇文章有一篇和此很相似：http://qicheng0211.blog.51cto.com/3958621/1694583

雖然這里基本思路一致，但是也是有些許不同之處。之前博主確實參考過此篇文章，可流程，思路，監控失敗項也是不一樣的，并且我還查了官網。這里將此博文鏈接注明，避免不必要的誤會。

另外有需要云服務器可以了解下創新互聯scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業上云的綜合解決方案，具有“安全穩定、簡單易用、服務可用性高、性價比高”等特點與優勢，專為企業上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

當前文章：Zabbix監控報警windows用戶登陸-創新互聯
分享鏈接：http://m.jcarcd.cn/article/doegci.html