[comment]: # ({f5f86322-e03ef403})
# 11 Windows-Ereignisprotokoll mit aktiven Prüfungen überwachen

[comment]: # ({/f5f86322-e03ef403})

[comment]: # ({8db5cba7-9c880c53})
#### Einführung

Diese Anleitung erklärt, wie Sie Windows-Ereignisprotokolle mit Zabbix mithilfe aktiver Prüfungen überwachen. Mit den Windows-spezifischen Datenpunktschlüsseln von Zabbix können Sie kritische Ereignisse (wie fehlgeschlagene Anmeldeversuche, Systemfehler usw.) in Echtzeit erfassen und analysieren.

**Für wen diese Anleitung gedacht ist**

Diese Anleitung richtet sich an neue Zabbix-Benutzer und Netzwerkadministratoren, die Windows-Ereignisprotokolle überwachen möchten. Informationen zu erweiterten Konfigurationsoptionen finden Sie in der Dokumentation zu [Windows-spezifischen Datenpunktschlüsseln](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items).

**Voraussetzungen**

Bevor Sie mit dieser Anleitung fortfahren, müssen Sie Zabbix Server und Zabbix Frontend gemäß den Anweisungen für Ihr Betriebssystem [herunterladen und installieren](https://www.zabbix.com/download). Außerdem muss Zabbix Agent auf dem Windows-Rechner, den Sie überwachen möchten, [heruntergeladen und installiert](https://www.zabbix.com/download_agents) sein.

[comment]: # ({/8db5cba7-9c880c53})

[comment]: # ({e46e4b55-320398a9})
#### Zabbix Agent für die Überwachung des Windows-Ereignisprotokolls konfigurieren

1\. Öffnen Sie `zabbix_agentd.conf` (Standardpfad `C:\Program Files\Zabbix Agent\zabbix_agentd.conf`) auf Ihrem Windows-Host und stellen Sie sicher, dass der Parameter [ServerActive](/manual/appendix/config/zabbix_agentd_win#serveractive) auf die IP-Adresse Ihres Zabbix-Servers gesetzt ist und der Parameter [Hostname](/manual/appendix/config/zabbix_agentd_win#hostname) dem Hostnamen entspricht, der im [Zabbix Frontend](#configure-zabbix-frontend) definiert wird. Dadurch kann der Agent aktive Prüfungen für seinen Host und vom angegebenen Zabbix-Server anfordern. Zum Beispiel:
   
```ini
ServerActive=192.0.2.1
Hostname=MyWindowsHost
```

2\. Starten Sie den Zabbix-Agent-Dienst neu, um die Änderungen zu übernehmen:

```bash
net stop "Zabbix Agent" && net start "Zabbix Agent"
```

3\. Prüfen Sie, ob der Windows-Host ausgeführt wird:

-   Stellen Sie sicher, dass der Zabbix-Agent-Dienst auf dem Windows-Host ausgeführt wird.
-   Prüfen Sie, ob der Windows-Host eine Verbindung zum Zabbix-Server über Port 10051 herstellen kann. Um die Verbindung vom Windows-Host aus zu testen, öffnen Sie PowerShell und führen Sie den folgenden Befehl aus:

```powershell
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051
```

[comment]: # ({/e46e4b55-320398a9})

[comment]: # ({f513db56-25228513})
#### Zabbix Frontend konfigurieren

1\. Navigieren Sie zu *Datensammlung > Hosts* und [erstellen Sie einen Host](/manual/config/hosts/host):

-   Geben Sie im Feld *Host name* einen Host-Namen ein (z. B. „MyWindowsHost“).
-   Geben Sie im Feld *Host groups* eine Host-Gruppe ein oder wählen Sie eine aus (z. B. „Event log Monitoring“).
-   Klicken Sie auf *Add*, um den konfigurierten Host zu speichern.

::: noteclassic
Im Feld *Templates* können Sie die Vorlage „Windows by Zabbix Agent active“ hinzufügen, um die Fehlerbehebung zu erleichtern, indem Sie beobachten, ob andere aktive Datenpunkte auf demselben Host aktualisiert werden.
:::

![](../../../assets/en/manual/guides/eventlog_host.png){width="600"}

2\. Erstellen Sie einen neuen Datenpunkt mit den folgenden Parametern:

-  Geben Sie im Feld *Name* einen aussagekräftigen Namen für den Datenpunkt ein (z. B. „Security log: failed logon events“).
-  Wählen Sie in der Dropdown-Liste *Type* „Zabbix Agent (active)“ aus (erforderlich für die Überwachung des Ereignisprotokolls).
-  Verwenden Sie im Feld *Key* den [eventlog](/manual/config/items/itemtypes/zabbix_agent/win_keys#eventlog)-Datenpunktschlüssel. Um beispielsweise fehlgeschlagene Anmeldeversuche (Ereignis-ID: 4625) im Sicherheitsprotokoll zu überwachen und Einträge zu ignorieren, die älter als die letzte Prüfung des Datenpunkts sind (unter Verwendung des Parameters `skip`), geben Sie den folgenden Datenpunktschlüssel ein: `eventlog[Security,,,,4625,,skip]`
-  Wählen Sie in der Dropdown-Liste *Type of information* „Log“ aus.

![](../../../assets/en/manual/guides/eventlog_item.png){width="600"}

3\. Klicken Sie auf *Add*, um den Datenpunkt zu speichern.

[comment]: # ({/f513db56-25228513})

[comment]: # ({dd0a5b78-a35d4c3a})
#### Gesammelte Metriken testen und anzeigen

Glückwunsch! Zabbix ist jetzt so eingerichtet, dass die Windows-Ereignisprotokolle erfasst werden.
Um zu überprüfen, ob Ereignisprotokolle erfasst werden, können Sie den Datenpunkt „Security log: failed logon events“ testen, indem Sie sich von Ihrem Windows-Konto abmelden und anschließend versuchen, sich mit falschen Anmeldedaten anzumelden.

Anschließend können Sie die gesammelten Protokolle im Zabbix Frontend anzeigen:

1\. Navigieren Sie im Zabbix Frontend zu *Monitoring > Latest data*.

![](../../../assets/en/manual/guides/eventlog_latestdata.png){width="600"}

2\. Filtern Sie im Feld *Name* nach Ihrem Host „MyWindowsHost“.

3\. Klicken Sie auf *History*, um die aufgezeichneten Protokollwerte anzuzeigen. 

![](../../../assets/en/manual/guides/eventlog_history.png){width="600"}

4\. Wenn keine Protokollwerte vorhanden sind, fahren Sie mit dem Abschnitt [Fehlerbehebung](#troubleshooting) in dieser Anleitung fort.

[comment]: # ({/dd0a5b78-a35d4c3a})

[comment]: # ({1a15be37-c98bb7b1})
#### Problemalarme einrichten

Diese Anleitung enthält grundlegende Konfigurationsschritte zum Senden von E-Mail-Benachrichtigungen.

1\. Navigieren Sie zu Datenerfassung > Hosts, um einen [Auslöser zu definieren](/manual/quickstart/trigger#adding-trigger), der ausgelöst wird, wenn Ihr Ereignisprotokoll-Datenpunkt das gewünschte Muster erfasst. Um beispielsweise fehlgeschlagene Anmeldeversuche im Sicherheitsprotokoll zu erkennen, verwenden Sie die Funktion [find()](/manual/appendix/functions/history#find):

   find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")

2\. Navigieren Sie zu [*Benutzereinstellungen > Profil*](/manual/web_interface/user_profile), wechseln Sie zur Registerkarte *Medien* und [fügen Sie Ihre E-Mail-Adresse hinzu](/manual/quickstart/login#adding-user).

![](../../../assets/en/manual/quickstart/new_media.png){width="600"}

3\. Folgen Sie der Anleitung zum [Empfangen einer Problembenachrichtigung](/manual/quickstart/notification).

Wenn Zabbix das nächste Mal ein Problem erkennt, sollten Sie eine E-Mail-Benachrichtigung erhalten.

[comment]: # ({/1a15be37-c98bb7b1})

[comment]: # ({e3501cd1-d7537870})
#### Fehlerbehebung

Wenn bei der Erfassung oder Anzeige von Windows-Ereignisprotokollen Probleme auftreten, verwenden Sie die folgenden Tipps, um häufige Probleme zu identifizieren und zu beheben:

1\. Listen Sie auf dem Zabbix Server (Linux) Ihre iptables-Regeln mit dem folgenden Befehl auf:

```bash
sudo iptables -L -n
```

und vergewissern Sie sich, dass es eine ACCEPT-Regel für den TCP-Port 10051 gibt.

2\. Stellen Sie sicher, dass Ihr `eventlog[...]`-Schlüssel genau den Protokollnamen (Groß-/Kleinschreibung beachten), die Ereignis-ID, den Modus (z. B. skip) und andere Parameter verwendet, genau wie unter [Windows-spezifische Datenpunktschlüssel](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items) angegeben.

[comment]: # ({/e3501cd1-d7537870})

[comment]: # ({d8627728-aeb05d60})
**Siehe auch:**

- [Erstellen eines Datenpunkts](/manual/config/items/item) - erfahren Sie, wie Sie zusätzliche Metriken hinzufügen.
- [Zabbix Agent unter Microsoft Windows](/manual/appendix/install/windows_agent) - detaillierte Installationsanweisungen.
- [Windows mit Zabbix Agent überwachen](/manual/guides/monitor_windows) - ein umfassender Leitfaden zur Einrichtung der grundlegenden Überwachung von Windows-Systemen mit Zabbix Agent.
- [Windows-spezifische Datenpunktschlüssel](/manual/config/items/itemtypes/zabbix_agent/win_keys) - detaillierte Informationen zu Windows-spezifischen Datenpunktschlüsseln, die von Zabbix Agents unterstützt werden, einschließlich derer für die Überwachung von Ereignisprotokollen.
- [Überwachung von Protokolldateien](/manual/config/items/itemtypes/zabbix_agent/log_items) - Anweisungen zur Konfiguration von Zabbix für die zentrale Überwachung und Analyse von Protokolldateien, anwendbar auf Windows-Ereignisprotokolle.

[comment]: # ({/d8627728-aeb05d60})