logeventid-Windows

admin

logeventid   記錄檔內容檢測
說明：
檢測符合的 event id 是否與正規比對是否符合其觸發條件，僅適合監控 Windows OS
資料型態：    log
目前監控環境
監控主機名稱  ：win2012
主機作業系統：Windows   Server 2012
目標需求：檢測登入主機   win2012   是否失敗
監控主機公式：itme-->eventlog[Security,,,,4625,,skip]
觸發公式：{win2012:eventlog[Security,,,,4625,,skip].logeventid(4625)}>=3
範例：
一．至登入 win2012   故意輸入錯誤的密碼幾次，要如此做是因為要查詢登入錯誤的 id，然後再登入


二．打開事件檢視器，檢視  Windows紀錄裡的安全性，可以看到稽核失敗的事件，點選查看事件細節，可以看到其事件識別碼的 id為   4625，此 id 即為這次範例所要監控的


三．至 Zabbix Server 網頁新增   item


四．Create item


五．如圖由上至下填妥資訊，Type 類型選擇如圖


六．如圖由上至下填妥資訊，Key 新增如圖點選


七．Key 新增如圖點選，選擇 eventlog 選項


八．Key 新增如圖點選，修改預設公式內容，結果如圖，接下來設定   Type of information


九．Key 新增如圖點選，設定   Type of information


十．填入新的   application 或選擇已建的類別，最後Add來新增


十一．至 Host 選擇   Zabbix server   的   Tiggers


十二．Create   tigger


十三．按圖點選填入適當的值  ， 步驟   3   會出現另一視窗


十四． 點選   item   裡的   Select


十五． 選擇   Monitor Event Log     選項


十六．選擇    Function   選項旁來選擇


十七．選擇   logeventid 函數


十八．先在   Last of (T)   選項框內填入 4625(Windows 事件識別碼 id ，上面第二步驟所得之值)，然後在  Result   選擇   =   及框內填入數值 3 再點選   Insert


十九．執行到這應該如圖所示，最後點選    Add，新增完畢