Windows Serverのイベントログの監視について
お世話になっております
初歩的な質問かもしれませんが…
セキュリティログの監視を行いたいと考え、試験環境を構築しています。
zabbixのバージョンは1.8.3
サーバ側のOSはCentOS 5
(「Zabbix統合監視[実践]入門」の書籍のとおりに設定を行いました。)
Windows Server側の環境は
OS:Windows Server 2003 R2 sp2
エージェントは1.8.3をインストールしました。
Web上の設定でホストを登録し、
DNS「(コンピュータ名).(ドメイン名)」とIPアドレスを設定しています。
http://www.miraclelinux.com/support/?q=node/343
で記載されているように、エージェント側のWindows Serverのほうのconfファイル(C:\ProgarmFiles\Zabbix Agent\zabbix_agent_conf)に
Hostname=「(コンピュータ名).(ドメイン名)」
Encoding=utf8
を追加修正しました
監視設定でアイテム追加で
キー:evevtlog[Security]
タイプ:ZABBIXエージェント(アクティブ)
データ型:ログ
更新間隔(秒):1
ヒストリの保存期限(日)7
ステータス:有効
と設定しました。
しかし、値が取れていないようで[タイムスタンプ][不明][Accessible only as active check!]という表示が1秒ごとに記録されているのですが、何か設定がおかしいのでしょうか?
恐れ入りますがどなたかご教示いただけましたら幸いです。
よろしくお願いします。
(不足の情報がありましたら調べられる範囲で調べてみます)
Accessible only as active check!
TNK - 投稿数: 4671
zabbix_agentd.conf内の「Server」の値は設定されましたか?
もし設定されていないのであれば、Windows Server上のzabbix_agentd.conf内にあるServerの設定を、
<code>
Server=zabbixサーバのIPアドレス
</code>
に設定して、zabbix agentサービスを再起動してみてください。
あと、zabbixのWebフロントエンドで設定したそのWindows Serverのホスト名と、zabbix_agentd.confのHostnameに設定した値が同じになっているかも再確認してください。
HERCULY - 投稿数: 37
TNKさま
お世話になっております
Windows Server上のzabbix_agentd.conf内にあるServerの設定で
ServerはZabbixサーバのIPアドレスを入れています。
>zabbixのWebフロントエンドで設定したそのWindows Serverのホスト名と、zabbix_agentd.confのHostnameに設定した値が同じになっているかも再確認してください。
ホスト名が「コンピュータ名」だけでした。正しく入れてみて様子を見てみようと思います。
結果はまた報告します
ありがとうございました。
kodai - 投稿数: 1341
Zabbix 1.8系であれば、Encoding=utf8の設定は不要です。
これはShift_JISのイベントログに対応していなかった1.6系のための対応になりますので、設定は削除しておいた方が良いです。
HERCULY - 投稿数: 37
KODAIさま
ご指摘ありがとうございます。
再度、エージェントから再インストールしてアイテムを設定したところイベントでログが監視できるようになりました。ありがとうございます。
もし追加で質問させていただきたいのですが、このZabbix上で表示したデータを加工したいのでファイルに落としたいとかは可能でしょうか?ご存知でしたらご教示願います
重ね重ね申し訳ありません。よろしくお願いします
kodai - 投稿数: 1341
いまのところWebインターフェースから履歴データをテキストなどに落とすことはできません。(そういう要望は多いんですけれど..)
履歴データを取得するためにはデータベースからSQLで直接取るか、API経由で取る必要があります。
HERCULY - 投稿数: 37
KODAIさま
遅くなりましたがご回答ありがとうございます
eventlogキーにおいて(Zabbix統合監視[実践]入門書の370ページ)
eventlog[logtype,<pattern>,<severity>,<source>,<eventid>,<maxlines>]とあります。
特定のイベントID(例えばWindowsのファイルアクセスに関する567など)のみを抽出する場合は
eventlog[Security,567]という指定でよろしいのでしょうか?
どうも他の部分まで取ってしまうようなので、設定が間違っているかもしれませんが・・・
キー指定の場合他のキーはデフォルトでもいいけど、一部に絞込みをかけたいときはどのようになりますでしょうか。
よろしくご教示くださいますようお願い申し上げます
TNK - 投稿数: 4671
イベントIDを条件に絞り込むのであれば、そのイベントIDが567とすると以下のようになるのではないでしょうか。
<code>
eventlog[Security,,,,567]
</code>
途中の値を指定しない場合であっても、値を指定したい項目までのカンマの数にご注意下さい。
HERCULY - 投稿数: 37
TNKさま
お世話になっております
設定どおりやってみたところうまく抽出することができました。
まだまだテキストを見ながら検証中ですが、複数のIDの場合は複数のアイテムを作成することでいけそうですね。
もう少し頑張ってみます!
kodai - 投稿数: 1341
マニュアルを確認したところイベントIDの指定には正規表現も使えるようなので、1つのアイテムで以下のような設定もできると思います。実際には試していないですが。。。
eventlog[Security,,,,567|568|569]
HERCULY - 投稿数: 37
kodaiさま
お世話になっております
上記の表記でログ監視ができました。
ありがとうございました。
2つ前のコメントでもご回答があったのですが、これらのイベントのログをMySQLから取り出そうとODBCでAccessに接続したのですがうまくいかないです。どのテーブルにこれらのイベントの情報が格納されているのでしょうか。
ご存知の方がいらっしゃいましたらご教示願います
kodai - 投稿数: 1341
別スレッドでAccessから接続される方法は質問されているようなので、テーブル情報だけ書いておきます。
アイテムの設定でデータ型を「ログ」に設定しているものは、すべてhistory_logテーブルにデータが保存されます。
すべての「ログ」型のアイテムのデータが保存されているので、個別のアイテムのデータだけ抜き出したい場合はitemidでフィルタをかけてください。