logsource-Windows

admin

logsource   取得記錄檔來源紀錄
說明：
傳回最近的記錄檔資料來源與正規表示法比對內容，當傳回值為0時，表示表示不符合
資料型態：    log
目前監控環境
監控主機名稱  ：win2012
主機作業系統：Windows   Server 2012
目標需求：檢測登入主機   win2012   是否失敗，而記錄檔標頭為稽核失敗
監控主機公式：itme-->eventlog[Security,,,,4625,,skip]
觸發公式：{win2012:eventlog[Security,,,,4625,,skip].logsource(稽核失敗)}=1
範例：
一．至登入 win2012   故意輸入錯誤的密碼幾次，要如此做是因為要查詢登入錯誤的 id，然後再登入


二．打開事件檢視器，檢視  Windows紀錄裡的安全性，可以看到稽核失敗的事件，點選查看事件細節，可以看到其事件識別碼的 id為   4625，此 id 即為這次範例所要監控的且"有稽核失敗"的字眼


三．至 Zabbix Server 網頁新增   item


四．Create item


五．如圖由上至下填妥資訊，Type 類型選擇如圖


六．如圖由上至下填妥資訊，Key 新增如圖點選


七．Key 新增如圖點選，選擇 eventlog 選項


八．Key 新增如圖點選，修改預設公式內容，結果如圖，接下來設定   Type of information


九．Key 新增如圖點選，設定   Type of information


十．填入新的   application 或選擇已建的類別，最後Add來新增


十一．至 Host 選擇   Zabbix server   的   Tiggers


十二．Create   tigger


十三．按圖點選填入適當的值  ， 步驟   3   會出現另一視窗


十四． 點選   item   裡的   Select


十五． 選擇   Monitor Event Log     選項


十六．選擇    Function   選項旁來選擇


十七．選擇   logsource   函數


十八．先在t填入 稽核失敗 然後在 Result   選擇   =   及框內填入數值 0 再點選   Insert(正常是要等於   1   才觸發，但經過實驗是要填入   0  才觸發，原因追查中)



十九．執行到這應該如圖所示，最後點選    Add，新增完畢