[comment]: # ({f5f86322-e03ef403}) # 11 Monitorizar el registro de eventos de Windows utilizando comprobaciones activas [comment]: # ({/f5f86322-e03ef403}) [comment]: # ({8db5cba7-9c880c53}) #### Introducción Esta guía explica cómo monitorizar los registros de eventos de Windows con Zabbix utilizando comprobaciones activas. Con las claves de métricas específicas de Windows en Zabbix, puede recopilar y analizar eventos críticos (como intentos fallidos de inicio de sesión, errores del sistema, etc.) en tiempo real. **A quién va dirigida esta guía** Esta guía está diseñada para nuevos usuarios de Zabbix y administradores de red que deseen monitorizar los registros de eventos de Windows. Para opciones de configuración avanzadas, consulte la documentación de [claves de métricas específicas de Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items). **Requisitos previos** Antes de continuar con esta guía, debe [descargar e instalar](https://www.zabbix.com/download) el servidor Zabbix y el frontend de Zabbix según las instrucciones para su sistema operativo. También necesita tener el agente Zabbix [descargado e instalado](https://www.zabbix.com/download_agents) en la máquina Windows que desea monitorizar. [comment]: # ({/8db5cba7-9c880c53}) [comment]: # ({5e430c36-320398a9}) #### Configurar Zabbix agent para la supervisión del registro de eventos de Windows 1\. Abra `zabbix_agentd.conf` (ruta predeterminada `C:\Program Files\Zabbix Agent\zabbix_agentd.conf`) en su host de Windows y asegúrese de que el parámetro [ServerActive](/manual/concepts/agent/agentd_params_win#serveractive) esté configurado con la dirección IP de su server de Zabbix, y de que el parámetro [Hostname](/manual/concepts/agent/agentd_params_win#hostname) coincida con el nombre del host que se definirá en [Zabbix frontend](#configure-zabbix-frontend). Esto permite que el agent solicite comprobaciones activas para su host y desde el server de Zabbix especificado. Por ejemplo: ```ini ServerActive=192.0.2.1 Hostname=MyWindowsHost ``` 2\. Reinicie el servicio de Zabbix agent para aplicar los cambios: ```bash net stop "Zabbix Agent" && net start "Zabbix Agent" ``` 3\. Compruebe que el host de Windows se está ejecutando: - Asegúrese de que el servicio de Zabbix agent se esté ejecutando en el host de Windows. - Compruebe que el host de Windows pueda conectarse al server de Zabbix en el puerto 10051. Para probar la conectividad desde el host de Windows, abra PowerShell y ejecute el siguiente comando: ```powershell Test-NetConnection -ComputerName -Port 10051 ``` [comment]: # ({/5e430c36-320398a9}) [comment]: # ({8d9e67c5-25228513}) #### Configurar el frontend de Zabbix 1\. Vaya a *Data collection > Hosts* y [cree un host](/manual/config/hosts/host): - En el campo *Host name*, introduzca un nombre de host (por ejemplo, "MyWindowsHost"). - En el campo *Host groups*, escriba o seleccione un grupo de hosts (por ejemplo, "Event log Monitoring"). - Haga clic en *Add* para guardar el host configurado. ::: noteclassic En el campo *Templates* puede añadir la template "Windows by Zabbix agent active" para ayudarle a solucionar problemas observando si otros items activos en el mismo host se están actualizando. ::: ![](../../../assets/en/manual/guides/eventlog_host.png){width="600"} 2\. Cree un nuevo item con los siguientes parámetros: - En el campo *Name*, introduzca un nombre descriptivo para el item (por ejemplo, "Security log: failed logon events"). - En la lista desplegable *Type*, seleccione "Zabbix agent (active)" (requerido para la supervisión de Event log). - En el campo *Key*, use la clave de item [eventlog](/manual/config/items/itemtypes/zabbix_agent/win_keys#eventlog). Por ejemplo, para supervisar intentos fallidos de inicio de sesión (Event ID: 4625) en el registro Security e ignorar las entradas más antiguas que la última comprobación del item (usando el parámetro `skip`), introduzca la siguiente clave de item: `eventlog[Security,,,,4625,,skip]` - En la lista desplegable *Type of information*, seleccione "Log". ![](../../../assets/en/manual/guides/eventlog_item.png){width="600"} 3\. Haga clic en *Add* para guardar el item. [comment]: # ({/8d9e67c5-25228513}) [comment]: # ({dd0a5b78-a35d4c3a}) #### Pruebe y vea las métricas recopiladas ¡Felicidades! Zabbix está ahora configurado para recopilar los registros de eventos de Windows. Para verificar que los registros de eventos se están recopilando, puede probar la métrica "Security log: failed logon events" cerrando la sesión de su cuenta de Windows e intentando iniciar sesión utilizando credenciales incorrectas. Luego, vea los registros recopilados en el frontend de Zabbix: 1\. Navegue a *Supervisión > Últimos datos* en el frontend de Zabbix. ![](../../../assets/en/manual/guides/eventlog_latestdata.png){width="600"} 2\. Filtre por su equipo "MyWindowsHost" en el campo *Nombre*. 3\. Haga clic en *Historial* para ver los valores de registro almacenados. ![](../../../assets/en/manual/guides/eventlog_history.png){width="600"} 4\. Si los valores de registro están ausentes, continúe con la sección [Solución de problemas](#troubleshooting) de la guía. [comment]: # ({/dd0a5b78-a35d4c3a}) [comment]: # ({01f6f437-c98bb7b1}) #### Configurar alertas de problemas Esta guía proporciona los pasos básicos de configuración para enviar alertas por correo electrónico. 1\. Vaya a Recopilación de datos > Hosts para [definir un trigger](/manual/installation/quick_guides/basic_config/trigger#adding-trigger) que se active cuando su item de registro de eventos registre el patrón que le interesa. Por ejemplo, para detectar intentos fallidos de inicio de sesión en el registro de Seguridad, utilice la función [find()](/manual/config/triggers/expression/history#find): find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed") 2\. Vaya a [*Configuración de usuario > Perfil*](/manual/web_interface/user_profile), cambie a la pestaña *Medios* y [añada su correo electrónico](/manual/installation/quick_guides/basic_config/login#adding-user). ![](../../../assets/en/manual/quickstart/new_media.png){width="600"} 3\. Siga la guía para [Recibir una notificación de problema](/manual/installation/quick_guides/basic_config/notification). La próxima vez que Zabbix detecte un problema, debería recibir una alerta por correo electrónico. [comment]: # ({/01f6f437-c98bb7b1}) [comment]: # ({e3501cd1-d7537870}) #### Solución de problemas Si encuentra problemas al recopilar o visualizar registros de eventos de Windows, utilice los siguientes consejos para identificar y resolver problemas comunes: 1\. En el servidor Zabbix (Linux), liste sus reglas de iptables con el siguiente comando: ```bash sudo iptables -L -n ``` y verifique que exista una regla ACCEPT para el puerto TCP 10051. 2\. Asegúrese de que su clave `eventlog[...]` utilice el nombre exacto del registro (sensible a mayúsculas y minúsculas), el ID de evento, el modo (por ejemplo, skip) y otros parámetros exactamente como se muestra en las [claves de métricas específicas de Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items). [comment]: # ({/e3501cd1-d7537870}) [comment]: # ({d8627728-aeb05d60}) **Véase también:** - [Creación de un item](/manual/config/items/item) - aprenda cómo agregar métricas adicionales. - [Zabbix agent en Microsoft Windows](/manual/appendix/install/windows_agent) - instrucciones detalladas de instalación. - [Monitorizar Windows con Zabbix agent](/manual/guides/monitor_windows) - una guía completa para configurar la monitorización básica de equipos Windows usando Zabbix agent. - [Claves de item específicas de Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys) - información detallada sobre las claves de item específicas de Windows compatibles con Zabbix agents, incluidas las de monitorización de registros de eventos. - [Monitorización de archivos de registro](/manual/config/items/itemtypes/zabbix_agent/log_items) - instrucciones para configurar Zabbix para la monitorización y el análisis centralizados de archivos de registro, aplicable a los registros de eventos de Windows. [comment]: # ({/d8627728-aeb05d60})