[comment]: # ({f5f86322-e03ef403})
# 11 アクティブチェックを使用してWindowsイベントログを監視する

[comment]: # ({/f5f86322-e03ef403})

[comment]: # ({8db5cba7-9c880c53})
#### はじめに

このガイドでは、Zabbixのアクティブチェックを使用してWindowsイベントログを監視する方法について説明します。ZabbixのWindows固有のアイテムキーを使用することで、重要なイベント（ログオン失敗、システムエラーなど）をリアルタイムで収集・分析できます。

**このガイドの対象者**

このガイドは、Windowsイベントログを監視したいZabbixの新規ユーザーやネットワーク管理者向けに作成されています。高度な設定オプションについては、[Windows固有のアイテムキー](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items)のドキュメントを参照してください。

**前提条件**

このガイドを進める前に、OSの手順に従ってZabbixサーバーとZabbixフロントエンドを[ダウンロードしてインストール](https://www.zabbix.com/download)する必要があります。また、監視対象のWindowsマシンにZabbixエージェントを[ダウンロードしてインストール](https://www.zabbix.com/download_agents)する必要があります。

[comment]: # ({/8db5cba7-9c880c53})

[comment]: # ({5e430c36-320398a9})
#### Windowsイベントログ監視用のZabbixエージェントの設定

1\. Windowsホスト上で `zabbix_agentd.conf`（既定のパスは `C:\Program Files\Zabbix Agent\zabbix_agentd.conf`）を開き、[ServerActive](/manual/concepts/agent/agentd_params_win#serveractive) パラメーターがZabbixサーバーのIPアドレスに設定されていること、および [Hostname](/manual/concepts/agent/agentd_params_win#hostname) パラメーターが [Zabbix Webインターフェース](#configure-zabbix-frontend) で定義するホスト名と一致していることを確認します。これにより、エージェントは自身のホストに対するアクティブチェックを、指定されたZabbixサーバーから要求できるようになります。例:

```ini
ServerActive=192.0.2.1
Hostname=MyWindowsHost
```

2\. 変更を適用するため、Zabbixエージェントサービスを再起動します:

```bash
net stop "Zabbix Agent" && net start "Zabbix Agent"
```

3\. Windowsホストが稼働していることを確認します:

-   WindowsホストでZabbixエージェントサービスが実行中であることを確認します。
-   Windowsホストがポート10051でZabbixサーバーに接続できることを確認します。Windowsホストから接続性をテストするには、PowerShellを開いて次のコマンドを実行します:

```powershell
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051
```

[comment]: # ({/5e430c36-320398a9})

[comment]: # ({8d9e67c5-25228513})
#### Zabbix Webインターフェースの設定

1\. *データ収集 > ホスト* に移動し、[ホストを作成](/manual/config/hosts/host)します。

-   *ホスト名* フィールドに、ホスト名を入力します（例: "MyWindowsHost"）。
-   *ホストグループ* フィールドに、ホストグループを入力または選択します（例: "Event log Monitoring"）。
-   *追加* をクリックして、設定したホストを保存します。

::: noteclassic
*テンプレート* フィールドでは、同じホスト上の他のアクティブなアイテムが更新されているかどうかを確認してトラブルシューティングに役立てるために、"Windows by Zabbix agent active" テンプレートを追加できます。
:::

![](../../../assets/en/manual/guides/eventlog_host.png){width="600"}

2\. 次のパラメーターで新しいアイテムを作成します。

-  *名前* フィールドに、説明的なアイテム名を入力します（例: "Security log: failed logon events"）。
-  *タイプ* のドロップダウンで、"Zabbix agent (active)" を選択します（Event log monitoring に必要です）。
-  *キー* フィールドに、[eventlog](/manual/config/items/itemtypes/zabbix_agent/win_keys#eventlog) アイテムキーを使用します。たとえば、Security log でのログオン失敗試行（Event ID: 4625）を監視し、アイテムの最終チェックより古いエントリを無視する（`skip` パラメーターを使用する）には、次のアイテムキーを入力します: `eventlog[Security,,,,4625,,skip]`
-  *情報の種類* のドロップダウンで、"Log" を選択します。

![](../../../assets/en/manual/guides/eventlog_item.png){width="600"}

3\. *追加* をクリックして、アイテムを保存します。

[comment]: # ({/8d9e67c5-25228513})

[comment]: # ({dd0a5b78-a35d4c3a})
#### 収集されたメトリクスのテストと表示

おめでとうございます！ZabbixはWindowsイベントログの収集を行うように設定されました。
イベントログが収集されていることを確認するには、Windowsアカウントからログアウトし、誤った認証情報でログインを試みることで、「セキュリティログ：ログオン失敗イベント」アイテムをテストできます。

次に、Zabbixフロントエンドで収集されたログを表示します。

1\. Zabbixフロントエンドの*監視 > 最新データ*に移動します。

![](../../../assets/en/manual/guides/eventlog_latestdata.png){width="600"}

2\. *名前*フィールドで「MyWindowsHost」ホストでフィルタリングします。

3\. *履歴*をクリックして記録されたログ値を表示します。

![](../../../assets/en/manual/guides/eventlog_history.png){width="600"}

4\. ログ値が存在しない場合は、本ガイドの[トラブルシューティング](#troubleshooting)セクションに進んでください。

[comment]: # ({/dd0a5b78-a35d4c3a})

[comment]: # ({01f6f437-c98bb7b1})
#### 障害アラートの設定

このガイドでは、メールアラートを送信するための基本的な設定手順を説明します。

1\. [トリガーを定義](/manual/installation/quick_guides/basic_config/trigger#adding-trigger)するには、[データ収集] > [ホスト]に移動し、イベントログアイテムが関心のあるパターンを記録したときに発火するようにします。たとえば、セキュリティログで失敗したログオン試行を検出するには、[find()](/manual/config/triggers/expression/history#find)関数を使用します。

   find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")

2\. [*ユーザー設定 > プロファイル*](/manual/web_interface/user_profile)に移動し、*メディア*タブに切り替えて[メールアドレスを追加](/manual/installation/quick_guides/basic_config/login#adding-user)します。

![](../../../assets/ja/manual/quickstart/new_media.png){width="600"}

3\. [障害通知の受信](/manual/installation/quick_guides/basic_config/notification)のガイドに従います。

次回、Zabbixが障害を検出したときは、メールでアラートを受信できるはずです。

[comment]: # ({/01f6f437-c98bb7b1})

[comment]: # ({e3501cd1-d7537870})
#### トラブルシューティング

Windowsイベントログの収集や表示に問題が発生した場合は、以下のヒントを使用して一般的な問題を特定し、解決してください。

1\. Zabbixサーバー（Linux）で、次のコマンドを使用してiptablesルールを一覧表示します。

```bash
sudo iptables -L -n
```

そして、TCPポート10051に対するACCEPTルールがあることを確認します。

2\. `eventlog[...]`キーが、[Windows固有のアイテムキー](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items)に示されている通り、正確なログ名（大文字小文字を区別）、イベントID、モード（例：skip）、その他のパラメータを正確に使用していることを確認してください。

[comment]: # ({/e3501cd1-d7537870})

[comment]: # ({d8627728-aeb05d60})
**関連情報:**

- [アイテムの作成](/manual/config/items/item) - 追加のメトリクスを追加する方法を学びます。
- [Microsoft Windows 上の Zabbix エージェント](/manual/appendix/install/windows_agent) - 詳細なインストール手順。
- [Zabbix エージェントで Windows を監視する](/manual/guides/monitor_windows) - Zabbix エージェントを使用して Windows マシンの基本監視を設定するための包括的なガイド。
- [Windows 固有のアイテムキー](/manual/config/items/itemtypes/zabbix_agent/win_keys) - イベントログ監視を含む、Zabbix エージェントでサポートされる Windows 固有のアイテムキーに関する詳細情報。
- [ログファイルの監視](/manual/config/items/itemtypes/zabbix_agent/log_items) - Windows のイベントログにも適用できる、ログファイルの集中監視と分析のために Zabbix を設定する手順。

[comment]: # ({/d8627728-aeb05d60})