[comment]: # ({f5f86322-e03ef403})
# 11 Surveiller le journal des événements Windows à l’aide de contrôles actifs

[comment]: # ({/f5f86322-e03ef403})

[comment]: # ({8db5cba7-9c880c53})
#### Introduction

Ce guide explique comment surveiller les journaux d’événements Windows avec Zabbix à l’aide de contrôles actifs. Grâce aux clés d’élément spécifiques à Windows de Zabbix, vous pouvez collecter et analyser les événements critiques (tels que les tentatives de connexion échouées, les erreurs système, etc.) en temps réel.

**À qui s’adresse ce guide**

Ce guide est conçu pour les nouveaux utilisateurs de Zabbix et les administrateurs réseau qui souhaitent surveiller les journaux d’événements Windows. Pour les options de configuration avancées, consultez la documentation sur les [clés d’élément spécifiques à Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items).

**Prérequis**

Avant de poursuivre avec ce guide, vous devez [télécharger et installer](https://www.zabbix.com/download) Zabbix server et Zabbix frontend conformément aux instructions correspondant à votre système d’exploitation. Vous devez également avoir Zabbix agent [téléchargé et installé](https://www.zabbix.com/download_agents) sur la machine Windows que vous souhaitez surveiller.

[comment]: # ({/8db5cba7-9c880c53})

[comment]: # ({e46e4b55-320398a9})
#### Configurer Zabbix agent pour la surveillance du journal des événements Windows

1\. Ouvrez `zabbix_agentd.conf` (chemin par défaut `C:\Program Files\Zabbix Agent\zabbix_agentd.conf`) sur votre hôte Windows et assurez-vous que le paramètre [ServerActive](/manual/appendix/config/zabbix_agentd_win#serveractive) est défini sur l'adresse IP de votre serveur Zabbix, et que le paramètre [Hostname](/manual/appendix/config/zabbix_agentd_win#hostname) correspond au nom d'hôte qui sera défini dans l'[interface Zabbix](#configure-zabbix-frontend). Cela permet à l'agent de demander des vérifications actives pour son hôte et auprès du serveur Zabbix spécifié. Par exemple :
   
```ini
ServerActive=192.0.2.1
Hostname=MyWindowsHost
```

2\. Redémarrez le service Zabbix agent pour appliquer les modifications :

```bash
net stop "Zabbix Agent" && net start "Zabbix Agent"
```

3\. Vérifiez que l'hôte Windows est en cours d'exécution :

-   Assurez-vous que le service Zabbix agent est en cours d'exécution sur l'hôte Windows.
-   Vérifiez que l'hôte Windows peut se connecter au serveur Zabbix sur le port 10051. Pour tester la connectivité depuis l'hôte Windows, ouvrez PowerShell et exécutez la commande suivante :

```powershell
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051
```

[comment]: # ({/e46e4b55-320398a9})

[comment]: # ({f513db56-25228513})
#### Configurer le frontend Zabbix

1\. Accédez à *Collecte de données > Hôtes* et [créez un hôte](/manual/config/hosts/host) :

-   Dans le champ *Nom de l'hôte*, saisissez un nom d'hôte (par exemple, "MyWindowsHost").
-   Dans le champ *Groupes d'hôtes*, saisissez ou sélectionnez un groupe d'hôtes (par exemple, "Event log Monitoring").
-   Appuyez sur *Ajouter* pour enregistrer l'hôte configuré.

::: noteclassic
Dans le champ *Modèles*, vous pouvez ajouter le modèle "Windows by Zabbix agent active" pour vous aider à résoudre les problèmes en observant si d'autres éléments actifs sur le même hôte sont en cours de mise à jour.
:::

![](../../../assets/en/manual/guides/eventlog_host.png){width="600"}

2\. Créez un nouvel élément avec les paramètres suivants :

-  Dans le champ *Nom*, saisissez un nom d'élément descriptif (par exemple, "Security log: failed logon events").
-  Dans la liste déroulante *Type*, sélectionnez "Zabbix agent (active)" (requis pour la surveillance du journal des événements).
-  Dans le champ *Clé*, utilisez la clé d'élément [eventlog](/manual/config/items/itemtypes/zabbix_agent/win_keys#eventlog). Par exemple, pour surveiller les tentatives de connexion échouées (ID d'événement : 4625) dans le journal Security et ignorer les entrées plus anciennes que la dernière vérification de l'élément (à l'aide du paramètre `skip`), saisissez la clé d'élément suivante : `eventlog[Security,,,,4625,,skip]`
-  Dans la liste déroulante *Type d'information*, sélectionnez "Log".

![](../../../assets/en/manual/guides/eventlog_item.png){width="600"}

3\. Cliquez sur *Ajouter* pour enregistrer l'élément.

[comment]: # ({/f513db56-25228513})

[comment]: # ({dd0a5b78-a35d4c3a})
#### Tester et afficher les métriques collectées

Félicitations ! Zabbix est maintenant configuré pour collecter vos journaux d’événements Windows.
Pour vérifier que les journaux d’événements sont bien collectés, vous pouvez tester l’élément « Security log: failed logon events » en vous déconnectant de votre compte Windows puis en tentant de vous reconnecter avec des identifiants incorrects.

Ensuite, affichez les journaux collectés dans le frontend Zabbix :

1\. Accédez à *Monitoring > Latest data* dans le frontend Zabbix.

![](../../../assets/en/manual/guides/eventlog_latestdata.png){width="600"}

2\. Filtrez par votre hôte « MyWindowsHost » dans le champ *Name*.

3\. Cliquez sur *History* pour afficher les valeurs de journal enregistrées. 

![](../../../assets/en/manual/guides/eventlog_history.png){width="600"}

4\. Si aucune valeur de journal n’est affichée, passez à la section [Dépannage](#troubleshooting) du guide.

[comment]: # ({/dd0a5b78-a35d4c3a})

[comment]: # ({1a15be37-c98bb7b1})
#### Configurer les alertes de problème

Ce guide fournit les étapes de configuration de base pour l'envoi d'alertes par e-mail.

1\. Accédez à Collecte de données > Hôtes pour [définir un déclencheur](/manual/quickstart/trigger#adding-trigger) qui se déclenche lorsque votre élément journal d'événements enregistre le motif qui vous intéresse. Par exemple, pour détecter les tentatives de connexion échouées dans le journal Security, utilisez la fonction [find()](/manual/appendix/functions/history#find) :

   find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")

2\. Accédez à [*Paramètres utilisateur > Profil*](/manual/web_interface/user_profile), basculez vers l'onglet *Média* et [ajoutez votre e-mail](/manual/quickstart/login#adding-user).

![](../../../assets/en/manual/quickstart/new_media.png){width="600"}

3\. Suivez le guide pour [Recevoir une notification de problème](/manual/quickstart/notification).

La prochaine fois que Zabbix détectera un problème, vous devriez recevoir une alerte par e-mail.

[comment]: # ({/1a15be37-c98bb7b1})

[comment]: # ({e3501cd1-d7537870})
#### Dépannage

Si vous rencontrez des problèmes lors de la collecte ou de l’affichage des journaux d’événements Windows, utilisez les conseils ci-dessous pour identifier et résoudre les problèmes courants :

1\. Sur le serveur Zabbix (Linux), listez vos règles iptables avec la commande suivante :

```bash
sudo iptables -L -n
```

et vérifiez qu’il existe une règle ACCEPT pour le port TCP 10051.

2\. Assurez-vous que votre clé `eventlog[...]` utilise exactement le nom du journal (sensible à la casse), l’ID d’événement, le mode (par ex. skip) et les autres paramètres exactement comme indiqué dans les [clés d’élément spécifiques à Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items).

[comment]: # ({/e3501cd1-d7537870})

[comment]: # ({d8627728-aeb05d60})
**Voir aussi :**

- [Créer un élément](/manual/config/items/item) - découvrez comment ajouter des métriques supplémentaires.
- [Zabbix agent sur Microsoft Windows](/manual/appendix/install/windows_agent) - instructions d'installation détaillées.
- [Surveiller Windows avec Zabbix agent](/manual/guides/monitor_windows) - un guide complet pour configurer la surveillance de base des machines Windows à l'aide de Zabbix agent.
- [Clés d'élément spécifiques à Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys) - informations détaillées sur les clés d'élément spécifiques à Windows prises en charge par les agents Zabbix, y compris celles destinées à la surveillance des journaux d'événements.
- [Surveillance des fichiers journaux](/manual/config/items/itemtypes/zabbix_agent/log_items) - instructions pour configurer Zabbix afin de centraliser la surveillance et l'analyse des fichiers journaux, applicables aux journaux d'événements Windows.

[comment]: # ({/d8627728-aeb05d60})