[comment]: # ({f5f86322-e03ef403})
# 11 Windows notikumu žurnāla uzraudzība, izmantojot aktīvās pārbaudes

[comment]: # ({/f5f86322-e03ef403})

[comment]: # ({8db5cba7-9c880c53})
#### Ievads

Šajā ceļvedī ir skaidrots, kā ar Zabbix palīdzību uzraudzīt Windows notikumu žurnālus, izmantojot aktīvās pārbaudes. Izmantojot Zabbix Windows specifiskās vienumu atslēgas, varat reāllaikā vākt un analizēt kritiskus notikumus (piemēram, neveiksmīgus pieteikšanās mēģinājumus, sistēmas kļūdas u.c.).

**Kam šis ceļvedis ir paredzēts**

Šis ceļvedis ir paredzēts jauniem Zabbix lietotājiem un tīkla administratoriem, kuri vēlas uzraudzīt Windows notikumu žurnālus. Papildu konfigurācijas iespējām skatiet dokumentāciju par [Windows specifiskajām vienumu atslēgām](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items).

**Priekšnosacījumi**

Pirms turpināt darbu ar šo ceļvedi, jums ir [jālejupielādē un jāinstalē](https://www.zabbix.com/download) Zabbix serveris un Zabbix lietotāja saskarne atbilstoši jūsu OS paredzētajām instrukcijām. Jums arī jābūt [lejupielādētam un instalētam](https://www.zabbix.com/download_agents) Zabbix aģentam Windows datorā, kuru vēlaties uzraudzīt.

[comment]: # ({/8db5cba7-9c880c53})

[comment]: # ({e46e4b55-320398a9})
#### Konfigurējiet Zabbix aģentu Windows notikumu žurnāla uzraudzībai

1\. Atveriet `zabbix_agentd.conf` (noklusējuma ceļš `C:\Program Files\Zabbix Agent\zabbix_agentd.conf`) savā Windows hostā un pārliecinieties, ka parametrs [ServerActive](/manual/appendix/config/zabbix_agentd_win#serveractive) ir iestatīts uz jūsu Zabbix servera IP adresi, bet parametrs [Hostname](/manual/appendix/config/zabbix_agentd_win#hostname) atbilst hosta nosaukumam, kas tiks definēts [Zabbix lietotāja saskarne](#configure-zabbix-frontend). Tas ļauj aģentam pieprasīt aktīvās pārbaudes savam hostam no norādītā Zabbix servera. Piemēram:
   
```ini
ServerActive=192.0.2.1
Hostname=MyWindowsHost
```

2\. Restartējiet Zabbix aģenta pakalpojumu, lai piemērotu izmaiņas:

```bash
net stop "Zabbix Agent" && net start "Zabbix Agent"
```

3\. Pārbaudiet, vai Windows hosts darbojas:

-   Pārliecinieties, ka Zabbix aģenta pakalpojums darbojas Windows hostā.
-   Pārbaudiet, vai Windows hosts var izveidot savienojumu ar Zabbix serveri 10051. portā. Lai pārbaudītu savienojumu no Windows hosta, atveriet PowerShell un izpildiet šādu komandu:

```powershell
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051
```

[comment]: # ({/e46e4b55-320398a9})

[comment]: # ({f513db56-25228513})
#### Konfigurējiet Zabbix lietotāja saskarni

1\. Dodieties uz *Datu vākšana > Hosts* un [izveidojiet hostu](/manual/config/hosts/host):

-   Laukā *Host name* ievadiet hosta nosaukumu (piemēram, "MyWindowsHost").
-   Laukā *Host groups* ierakstiet vai atlasiet hostu grupu (piemēram, "Event log Monitoring").
-   Nospiediet *Add*, lai saglabātu konfigurēto hostu.

::: noteclassic
Laukā *Templates* varat pievienot veidni "Windows by Zabbix aģents active", lai palīdzētu novērst problēmas, novērojot, vai citi aktīvie vienumi tajā pašā hostā tiek atjaunināti.
:::

![](../../../assets/en/manual/guides/eventlog_host.png){width="600"}

2\. Izveidojiet jaunu vienumu ar šādiem parametriem:

-  Laukā *Name* ievadiet aprakstošu vienuma nosaukumu (piemēram, "Security log: failed logon events").
-  Nolaižamajā sarakstā *Type* atlasiet "Zabbix aģents (active)" (nepieciešams Event log uzraudzībai).
-  Laukā *Key* izmantojiet vienuma atslēgu [eventlog](/manual/config/items/itemtypes/zabbix_agent/win_keys#eventlog). Piemēram, lai uzraudzītu neveiksmīgus pieteikšanās mēģinājumus (Event ID: 4625) Security žurnālā un ignorētu ierakstus, kas ir vecāki par vienuma pēdējo pārbaudi (izmantojot parametru `skip`), ievadiet šādu vienuma atslēgu: `eventlog[Security,,,,4625,,skip]`
-  Nolaižamajā sarakstā *Type of information* atlasiet "Log".

![](../../../assets/en/manual/guides/eventlog_item.png){width="600"}

3\. Noklikšķiniet uz *Add*, lai saglabātu vienumu.

[comment]: # ({/f513db56-25228513})

[comment]: # ({dd0a5b78-a35d4c3a})
#### Pārbaudiet un skatiet savāktos metriku datus

Apsveicam! Zabbix tagad ir iestatīts, lai vāktu jūsu Windows notikumu žurnālus.
Lai pārbaudītu, vai notikumu žurnāli tiek vākti, varat pārbaudīt vienumu "Drošības žurnāls: neveiksmīgi pieteikšanās notikumi", izrakstoties no sava Windows konta un mēģinot pieteikties, izmantojot nepareizus akreditācijas datus.

Pēc tam skatiet savāktos žurnālus Zabbix lietotāja saskarnē:

1\. Atveriet *Monitoring > Latest data* Zabbix lietotāja saskarnē.

![](../../../assets/en/manual/guides/eventlog_latestdata.png){width="600"}

2\. Laukā *Name* filtrējiet pēc sava hosta "MyWindowsHost".

3\. Noklikšķiniet uz *History*, lai skatītu reģistrētās žurnāla vērtības. 

![](../../../assets/en/manual/guides/eventlog_history.png){width="600"}

4\. Ja žurnāla vērtības nav redzamas, pārejiet uz rokasgrāmatas sadaļu [Traucējummeklēšana](#troubleshooting).

[comment]: # ({/dd0a5b78-a35d4c3a})

[comment]: # ({1a15be37-c98bb7b1})
#### Iestatīt problēmu brīdinājumus

Šajā rokasgrāmatā ir sniegti pamata konfigurācijas soļi e-pasta brīdinājumu nosūtīšanai.

1\. Dodieties uz Datu vākšana > Hosts, lai [definētu trigeri](/manual/quickstart/trigger#adding-trigger), kas aktivizējas, kad jūsu notikumu žurnāla vienums reģistrē interesējošo rakstu. Piemēram, lai noķertu neveiksmīgus pieteikšanās mēģinājumus Security žurnālā, izmantojiet funkciju [find()](/manual/appendix/functions/history#find):

   find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")

2\. Dodieties uz [*Lietotāja iestatījumi > Profils*](/manual/web_interface/user_profile), pārslēdzieties uz cilni *Media* un [pievienojiet savu e-pastu](/manual/quickstart/login#adding-user).

![](../../../assets/en/manual/quickstart/new_media.png){width="600"}

3\. Izpildiet rokasgrāmatu par [problēmas paziņojuma saņemšanu](/manual/quickstart/notification).

Nākamreiz, kad Zabbix noteiks problēmu, jums vajadzētu saņemt brīdinājumu pa e-pastu.

[comment]: # ({/1a15be37-c98bb7b1})

[comment]: # ({e3501cd1-d7537870})
#### Problēmu novēršana

Ja rodas problēmas ar Windows notikumu žurnālu vākšanu vai skatīšanu, izmantojiet tālāk sniegtos padomus, lai noteiktu un novērstu biežāk sastopamās problēmas:

1\. Zabbix serverī (Linux) uzskaitiet savus iptables noteikumus ar šādu komandu:

```bash
sudo iptables -L -n
```

un pārbaudiet, vai ir ACCEPT noteikums TCP portam 10051.

2\. Pārliecinieties, ka jūsu `eventlog[...]` atslēga izmanto precīzu žurnāla nosaukumu (reģistrjutīgs), notikuma ID, režīmu (piemēram, skip) un citus parametrus tieši tā, kā parādīts sadaļā [Windows-specific item keys](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items).

[comment]: # ({/e3501cd1-d7537870})

[comment]: # ({d8627728-aeb05d60})
**Skatīt arī:**

- [Vienuma izveide](/manual/config/items/item) - uzziniet, kā pievienot papildu metriku.
- [Zabbix aģents Microsoft Windows vidē](/manual/appendix/install/windows_agent) - detalizētas instalēšanas instrukcijas.
- [Windows uzraudzība ar Zabbix aģentu](/manual/guides/monitor_windows) - visaptverošs ceļvedis par pamata uzraudzības iestatīšanu Windows datoriem, izmantojot Zabbix aģentu.
- [Windows specifiskās vienumu atslēgas](/manual/config/items/itemtypes/zabbix_agent/win_keys) - detalizēta informācija par Windows specifiskajām vienumu atslēgām, ko atbalsta Zabbix aģenti, tostarp notikumu žurnālu uzraudzībai.
- [Žurnālfailu uzraudzība](/manual/config/items/itemtypes/zabbix_agent/log_items) - norādījumi par Zabbix konfigurēšanu centralizētai žurnālfailu uzraudzībai un analīzei, kas attiecas arī uz Windows notikumu žurnāliem.

[comment]: # ({/d8627728-aeb05d60})