Windows 監控的 key

admin

eventlog[name,<regexp>,<severity>,<source>,<eventid>,<maxlines>,<mode>]
說明：
事件日誌監控，僅適用在主動模式下，所以無法以 zabbix_ge t獲取資料，所以需先設定成主動模式
name：事件日誌的名稱
regexp：正則式的描述
severity：日誌等級
source：描述源標識符的正則表達式
eventid：描述事件標識符的正則表達式
maxdelay：每秒發送到 Zabbix 服務器或代理的最大新行數
mode：all(預設全部)、 skip(忽略)，跳過舊事件的處理
範例：
需先將欲監控的   Windows   主機設定   agent，設定好之後別忘記重新啟動   Zabbix   Agent   服務
1.修改 C:\Program Files\Zabbix Agent\zabbix_agentd，確認以下設定
         LogType=system
         Server=192.168.0.21(Zabbix server   ip)
         ServerActive=192.168.0.21  (Zabbix server   ip)
       Hostname=win2012(需與   Zabbix   server   上設定的   Host   name 如下圖)
         HostnameItem=system.hostname[host]


2.於 Zabbix Server 上設定 ITEM
Configuration=>win2012(打開之後如上圖)，然後再點擊如上圖黃色區塊，點擊之後的頁面如下圖，再點擊   Create   item，右上紅色區塊


3.設定 item
點擊 Create   item   之後填入以下資訊，如下圖
Name=>eventlog[Security,,,,4624,,skip]
Type=>Zabbix   agent(active)
key=>eventlog[Security,,,,4624,,skip]
Type   of   information=>Log

最後再  Add  新增即設定完成
PS：eventlog[Security,,,,4624,,skip]，4624值的來源，開啟欲監控的   Windows   主機的   事件檢視器裡的   Windows   紀錄=>安全性=>隨便找個登入，如下圖，即可查詢，因為我有同時間登入，所以會有兩個值 4624 及 4648，選第一個 4624即可


net.if.list
說明：
網路設備接口列表
範例：
列出   Windows 的網路設備，包含虛擬的網卡


perf_counter[counter,<interval>]
說明：
Windows 效能計數
counter：計數器路徑
interval：返回最後"間隔"秒的平均值
範例：
獲取處理器計數器的列表


proc_info[process,<attribute>,<type>]
說明：
指定運算物件的各種資訊
process：運算物件名稱
attribute：運算物件的屬性，vmsize(預設進程虛擬內存大小)、 wkset(進程使用的物理內存量)、 pf(頁面錯誤數)、 ktime(進程內核時間)、 utime(進程用戶時間)、 io_read_b(I/O 操作期間進程讀取的字節數)、 io_read_op(進程執行的讀取操作數)、 io_write_b(I/O 操作期間進程寫入的字節數)、 io_write_op(進程在除讀寫操作以外的操作期間傳輸的字節數)、 io_other_op(進程執行的 I/O 操作數，除讀寫操作外)、 gdiobj(進程使用的 GDI 對像數)、 userobj(進程使用的 USER 對像數process)
type：類型，avg(預設，進程的平均值)、 min(進程的最小值)、 max(進程的最大值)、 sum(值總和)
範例：
獲取所有 Internet Explorer 進程佔用的物理內存量


service.discovery
說明：
列出 Windows   的服務
範例：
列出所有 Windows   的服務


service.info[service,<param>]
說明：
顯示服務系統的相關資訊
回應狀態:
0 - running
1 - paused
2 - start pending
3 - pause pending
4 - continue pending
5 - stop pending
6 - stopped
7 - unknown
255 - no such service
啟動的模式:
0 - automatic
1 - automatic delayed
2 - manual
3 - disabled
4 - unknown
5 - automatic trigger start
6 - automatic delayed trigger start
7 - manual trigger start
service：在 MMC 顯示的服務名稱
param：state(預設，狀態)、 displayname(顯示的名稱)、 path(路徑)、 user(使用者)、 startup(啟動)、 description(詳細資料)
範例：
檢測   SNMP   服務是否有啟動，回應' 6'，參照上方回應狀態，為 '6 - stopped'


services[<type>,<state>,<exclude>]
說明：
列出服務，回應 0   代表沒有此服務
type：all(預設，列出所有在此系統上的服務預設啟動狀態)、 automatic(自動啟動)、 manual(手動)、 disabled(停止)
state：all(預設，列出所有在此系統上的服務目前狀態)、 stopped (已經停止)、start_pending(開始啟動執行中)、stop_pending(停止執行中)、running(運行中)、 continue_pending(繼續執行中)、pause_pending(暫停執行中 )、 paused(已暫停)
exclude：排除服務
範例：
列出目前正常已啟動服務


wmi.get[<namespace>,<query>]
說明：
執行 WMI(管理檢測)查詢，詳細使用尚未知，之後再補強
namespace：命名空間
query：返回單個  WMI   查詢
範例：