Windowsイベントログでユーザがログオンした履歴を収集したい
【環境】zabbixサーバ・・・CentOS7.5/zabbix 4.0.1
いつもお世話になっております。
Windowsサーバへユーザがログオン成功したことのみを監視したく、アイテム「eventlog」の
2つ目の引数<regexp>でログオンタイプ10のイベントを正規表現でひっかけたいのですがう
まく行きません。
この2つ目の引数の正規表現の指定方法に不備があるのでしょうか?
下の(3)の設定ではユーザがログオンした場合にイベントが発生するので正規表現は間違いない
と思っていますがアイテムでの設定方法が分からず困っております。
■やりたいこと
(1)アイテムでログオンタイプ:10のイベントログのみを収集したい
(2)Windows Serverのバージョンの違いにより、イベントログの「ログオン タイプ:<tab>10」
の行の<tab>の数が異なるので、eventlogの2つ目の引数で固定文字列ではなく正規表現で
tab数の違いを許容したい。
■以下アイテム設定を行ってみましたがWinイベントが発生してもデータ取得できませんでした
(1)正規表現に登録している「winlogon」を指定した場合
eventlog[Security,@winlogon,,,4624,,skip]
※正規表現「winlogon」の設定
条件式の形式:結果が真
条件式 :ログオン タイプ:\s*10
(2)正規表現を直接記述した場合
eventlog[Security,"ログオン タイプ:\s*10",,,4624,,skip]
■以下設定ではログオン成功のWinイベントを取得できます。
(1)ログオンタイプを設定しない場合
eventlog[Security,,,,4624,,skip]
(2)ログオンタイプの行をサーバで出力されている固定文字列にした場合
eventlog[Security,"ログオン タイプ: 10",,,4624,,skip]
(3)アイテムを上記(1)の設定で以下トリガー設定を行った場合、障害イベントが発生する
{Windows Server:eventlog[Security,,,,4624,,skip].regexp(@winlogon,#1)}=1
※正規表現「winlogon」の設定
条件式の形式:結果が真
条件式 :ログオン タイプ:\s*10
misaki - 投稿数: 69
【補足します】
Windowsへのログオン成功のWindowsイベントIDが「4624」となっています。
このイベントIDの中からユーザがログオンした場合に記録されるログオンタイプ:10をアイテムで
取得したいと考えております。
misaki - 投稿数: 69
自己解決しました。
監視対象のWindows ServerマシンにインストールしていたZabbixエージェントがVer2.0でしたので、
4.0のエージェントに更新したところ解決しました。