[comment]: # aside:12

[comment]: # ({1f4286c6-e03ef403})
# Monitorare il registro eventi di Windows usando controlli attivi

[comment]: # ({/1f4286c6-e03ef403})

[comment]: # ({8db5cba7-9c880c53})
#### Introduzione

Questa guida spiega come monitorare i log eventi di Windows con Zabbix utilizzando controlli attivi. Con le chiavi item specifiche per Windows di Zabbix, è possibile raccogliere e analizzare eventi critici (come tentativi di accesso non riusciti, errori di sistema, ecc.) in tempo reale.

**A chi è rivolta questa guida**

Questa guida è pensata per i nuovi utenti di Zabbix e per gli amministratori di rete che desiderano monitorare i log eventi di Windows. Per le opzioni di configurazione avanzate, fare riferimento alla documentazione sulle [chiavi item specifiche per Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items).

**Prerequisiti**

Prima di procedere con questa guida, è necessario [scaricare e installare](https://www.zabbix.com/download) Zabbix server e Zabbix frontend secondo le istruzioni per il proprio sistema operativo. È inoltre necessario che Zabbix agent sia [scaricato e installato](https://www.zabbix.com/download_agents) sulla macchina Windows che si desidera monitorare.

[comment]: # ({/8db5cba7-9c880c53})

[comment]: # ({e46e4b55-320398a9})
#### Configurare Zabbix agent per il monitoraggio del registro eventi di Windows

1\. Apri `zabbix_agentd.conf` (percorso predefinito `C:\Program Files\Zabbix Agent\zabbix_agentd.conf`) sul tuo host Windows e assicurati che il parametro [ServerActive](/manual/appendix/config/zabbix_agentd_win#serveractive) sia impostato sull'indirizzo IP del tuo server Zabbix e che il parametro [Hostname](/manual/appendix/config/zabbix_agentd_win#hostname) corrisponda al nome host che verrà definito nel [frontend Zabbix](#configure-zabbix-frontend). In questo modo l'agent può richiedere controlli attivi per il proprio host e dal server Zabbix specificato. Ad esempio:
   
```ini
ServerActive=192.0.2.1
Hostname=MyWindowsHost
```

2\. Riavvia il servizio Zabbix agent per applicare le modifiche:

```bash
net stop "Zabbix Agent" && net start "Zabbix Agent"
```

3\. Verifica che l'host Windows sia in esecuzione:

-   Assicurati che il servizio Zabbix agent sia in esecuzione sull'host Windows.
-   Verifica che l'host Windows possa connettersi al server Zabbix sulla porta 10051. Per testare la connettività dall'host Windows, apri PowerShell ed esegui il seguente comando:

```powershell
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051
```

[comment]: # ({/e46e4b55-320398a9})

[comment]: # ({f513db56-25228513})
#### Configurare il frontend di Zabbix

1\. Vai su *Data collection > Hosts* e [crea un host](/manual/config/hosts/host):

-   Nel campo *Host name*, inserisci un nome host (ad esempio, "MyWindowsHost").
-   Nel campo *Host groups*, digita o seleziona un gruppo host (ad esempio, "Event log Monitoring").
-   Premi *Add* per salvare l'host configurato.

::: noteclassic
Nel campo *Templates* puoi aggiungere il template "Windows by Zabbix agent active" per aiutarti nella risoluzione dei problemi, osservando se altri item attivi sullo stesso host vengono aggiornati.
:::

![](../../../assets/en/manual/guides/eventlog_host.png){width="600"}

2\. Crea un nuovo item con i seguenti parametri:

-  Nel campo *Name*, inserisci un nome descrittivo per l'item (ad esempio, "Security log: failed logon events").
-  Nel menu a discesa *Type*, seleziona "Zabbix agent (active)" (richiesto per il monitoraggio del registro eventi).
-  Nel campo *Key*, usa la chiave item [eventlog](/manual/config/items/itemtypes/zabbix_agent/win_keys#eventlog). Ad esempio, per monitorare i tentativi di accesso non riusciti (Event ID: 4625) nel registro Security e ignorare le voci più vecchie dell'ultimo controllo dell'item (usando il parametro `skip`), inserisci la seguente chiave item: `eventlog[Security,,,,4625,,skip]`
-  Nel menu a discesa *Type of information*, seleziona "Log".

![](../../../assets/en/manual/guides/eventlog_item.png){width="600"}

3\. Fai clic su *Add* per salvare l'item.

[comment]: # ({/f513db56-25228513})

[comment]: # ({dd0a5b78-a35d4c3a})
#### Testare e visualizzare le metriche raccolte

Congratulazioni! Zabbix è ora configurato per raccogliere i log eventi di Windows.
Per verificare che i log eventi vengano raccolti, puoi testare l'item "Security log: failed logon events" disconnettendoti dal tuo account Windows e tentando di accedere con credenziali errate.

Quindi, visualizza i log raccolti nel frontend di Zabbix:

1\. Vai a *Monitoring > Latest data* nel frontend di Zabbix.

![](../../../assets/en/manual/guides/eventlog_latestdata.png){width="600"}

2\. Filtra per il tuo host "MyWindowsHost" nel campo *Name*.

3\. Fai clic su *History* per visualizzare i valori dei log registrati. 

![](../../../assets/en/manual/guides/eventlog_history.png){width="600"}

4\. Se i valori dei log non sono presenti, passa alla sezione [Risoluzione dei problemi](#troubleshooting) della guida.

[comment]: # ({/dd0a5b78-a35d4c3a})

[comment]: # ({6d51ace0-c98bb7b1})
#### Configurare gli avvisi di problema

Questa guida fornisce i passaggi di configurazione di base per l'invio di avvisi via email.

1\. Passare a Raccolta dati > Host per [definire un trigger](/manual/quickstart/basic_config/trigger#adding-trigger) che si attiva quando l'item del registro eventi registra il pattern che interessa. Ad esempio, per intercettare i tentativi di accesso non riusciti nel registro Sicurezza, usare la funzione [find()](/manual/appendix/functions/history#find):

   find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")

2\. Passare a [*Impostazioni utente > Profilo*](/manual/web_interface/user_profile), aprire la scheda *Media* e [aggiungere il proprio indirizzo email](/manual/quickstart/basic_config/login#adding-user).

![](../../../assets/en/manual/quickstart/new_media.png){width="600"}

3\. Seguire la guida per [Ricevere una notifica di problema](/manual/quickstart/basic_config/notification).

La prossima volta, quando Zabbix rileverà un problema, si dovrebbe ricevere un avviso via email.

[comment]: # ({/6d51ace0-c98bb7b1})

[comment]: # ({e3501cd1-d7537870})
#### Risoluzione dei problemi

Se riscontri problemi con la raccolta o la visualizzazione dei log eventi di Windows, utilizza i suggerimenti riportati di seguito per identificare e risolvere i problemi più comuni:

1\. Sul server Zabbix (Linux) elenca le regole iptables con il seguente comando:

```bash
sudo iptables -L -n
```

e verifica che sia presente una regola ACCEPT per la porta TCP 10051.

2\. Assicurati che la chiave `eventlog[...]` utilizzi il nome del log esatto (con distinzione tra maiuscole e minuscole), l'ID evento, la modalità (ad esempio skip) e gli altri parametri esattamente come mostrato nelle [chiavi item specifiche di Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items).

[comment]: # ({/e3501cd1-d7537870})

[comment]: # ({6c3c3603-aeb05d60})
**Vedi anche:**

- [Creazione di un item](/manual/config/items/item) - scopri come aggiungere metriche aggiuntive.
- [Zabbix agent su Microsoft Windows](/manual/appendix/install/windows_agent) - istruzioni dettagliate per l'installazione.
- [Monitorare Windows con Zabbix agent](/manual/quickstart/monitor_windows) - una guida completa alla configurazione del monitoraggio di base per le macchine Windows usando Zabbix agent.
- [Chiavi item specifiche per Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys) - informazioni dettagliate sulle chiavi item specifiche per Windows supportate dagli Zabbix agent, incluse quelle per il monitoraggio del registro eventi.
- [Monitoraggio dei file di log](/manual/config/items/itemtypes/zabbix_agent/log_items) - istruzioni per configurare Zabbix per il monitoraggio centralizzato e l'analisi dei file di log, applicabili ai registri eventi di Windows.

[comment]: # ({/6c3c3603-aeb05d60})