[comment]: # ({f5f86322-e03ef403})
# 11 Monitorowanie dziennika zdarzeń Windows przy użyciu aktywnych kontroli

[comment]: # ({/f5f86322-e03ef403})

[comment]: # ({8db5cba7-9c880c53})
#### Wprowadzenie

Ten przewodnik wyjaśnia, jak monitorować dzienniki zdarzeń systemu Windows w Zabbix przy użyciu aktywnych kontroli. Korzystając z kluczy pozycji specyficznych dla systemu Windows w Zabbix, można zbierać i analizować krytyczne zdarzenia (takie jak nieudane próby logowania, błędy systemowe itp.) w czasie rzeczywistym.

**Dla kogo jest ten przewodnik**

Ten przewodnik jest przeznaczony dla nowych użytkowników Zabbix oraz administratorów sieci, którzy chcą monitorować dzienniki zdarzeń systemu Windows. Informacje o zaawansowanych opcjach konfiguracji można znaleźć w dokumentacji [kluczy pozycji specyficznych dla systemu Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items).

**Wymagania wstępne**

Przed kontynuowaniem należy [pobrać i zainstalować](https://www.zabbix.com/download) serwer Zabbix oraz frontend Zabbix zgodnie z instrukcjami dla używanego systemu operacyjnego. Należy również [pobrać i zainstalować](https://www.zabbix.com/download_agents) agent Zabbix na komputerze z systemem Windows, który ma być monitorowany.

[comment]: # ({/8db5cba7-9c880c53})

[comment]: # ({e46e4b55-320398a9})
#### Skonfiguruj Zabbix agent do monitorowania dziennika zdarzeń systemu Windows

1\. Otwórz plik `zabbix_agentd.conf` (domyślna ścieżka `C:\Program Files\Zabbix Agent\zabbix_agentd.conf`) na swoim hoście Windows i upewnij się, że parametr [ServerActive](/manual/appendix/config/zabbix_agentd_win#serveractive) jest ustawiony na adres IP twojego serwera Zabbix, a parametr [Hostname](/manual/appendix/config/zabbix_agentd_win#hostname) odpowiada nazwie hosta, która zostanie zdefiniowana w [frontend Zabbix](#configure-zabbix-frontend). Umożliwia to agentowi pobieranie aktywnych kontroli dla swojego hosta od wskazanego serwera Zabbix. Na przykład:
   
```ini
ServerActive=192.0.2.1
Hostname=MyWindowsHost
```

2\. Uruchom ponownie usługę Zabbix agent, aby zastosować zmiany:

```bash
net stop "Zabbix Agent" && net start "Zabbix Agent"
```

3\. Sprawdź, czy host Windows działa:

-   Upewnij się, że usługa Zabbix agent działa na hoście Windows.
-   Sprawdź, czy host Windows może połączyć się z serwerem Zabbix na porcie 10051. Aby przetestować łączność z hosta Windows, otwórz PowerShell i uruchom następujące polecenie:

```powershell
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051
```

[comment]: # ({/e46e4b55-320398a9})

[comment]: # ({f513db56-25228513})
#### Konfiguracja frontend Zabbix

1\. Przejdź do *Data collection > Hosts* i [utwórz hosta](/manual/config/hosts/host):

-   W polu *Host name* wprowadź nazwę hosta (np. „MyWindowsHost”).
-   W polu *Host groups* wpisz lub wybierz grupę hostów (np. „Event log Monitoring”).
-   Naciśnij *Add*, aby zapisać skonfigurowanego hosta.

::: noteclassic
W polu *Templates* możesz dodać szablon „Windows by Zabbix agent active”, aby ułatwić rozwiązywanie problemów przez obserwowanie, czy inne aktywne pozycje na tym samym hoście są aktualizowane.
:::

![](../../../assets/en/manual/guides/eventlog_host.png){width="600"}

2\. Utwórz nową pozycję z następującymi parametrami:

-  W polu *Name* wprowadź opisową nazwę pozycji (np. „Security log: failed logon events”).
-  Z listy rozwijanej *Type* wybierz „Zabbix agent (active)” (wymagane do monitorowania dziennika zdarzeń).
-  W polu *Key* użyj klucza pozycji [eventlog](/manual/config/items/itemtypes/zabbix_agent/win_keys#eventlog). Na przykład, aby monitorować nieudane próby logowania (Event ID: 4625) w dzienniku Security i ignorować wpisy starsze niż ostatnie sprawdzenie pozycji (przy użyciu parametru `skip`), wprowadź następujący klucz pozycji: `eventlog[Security,,,,4625,,skip]`
-  Z listy rozwijanej *Type of information* wybierz „Log”.

![](../../../assets/en/manual/guides/eventlog_item.png){width="600"}

3\. Kliknij *Add*, aby zapisać pozycję.

[comment]: # ({/f513db56-25228513})

[comment]: # ({dd0a5b78-a35d4c3a})
#### Testowanie i przegląd zebranych metryk

Gratulacje! Zabbix jest teraz skonfigurowany do zbierania dzienników zdarzeń systemu Windows.
Aby sprawdzić, czy dzienniki zdarzeń są zbierane, możesz przetestować pozycję „Security log: failed logon events”, wylogowując się ze swojego konta Windows i próbując zalogować się przy użyciu nieprawidłowych poświadczeń.

Następnie wyświetl zebrane dzienniki w Zabbix frontend:

1\. Przejdź do *Monitoring > Latest data* w Zabbix frontend.

![](../../../assets/en/manual/guides/eventlog_latestdata.png){width="600"}

2\. Odfiltruj dane według hosta „MyWindowsHost” w polu *Name*.

3\. Kliknij *History*, aby wyświetlić zarejestrowane wartości dziennika. 

![](../../../assets/en/manual/guides/eventlog_history.png){width="600"}

4\. Jeśli wartości dziennika nie są widoczne, przejdź do sekcji [Rozwiązywanie problemów](#troubleshooting) w tym przewodniku.

[comment]: # ({/dd0a5b78-a35d4c3a})

[comment]: # ({1a15be37-c98bb7b1})
#### Konfiguracja alertów o problemach

Ten przewodnik zawiera podstawowe kroki konfiguracji wysyłania alertów e-mail.

1\. Przejdź do Data collection > Hosts, aby [zdefiniować wyzwalacz](/manual/quickstart/trigger#adding-trigger), który uruchomi się, gdy pozycja dziennika zdarzeń zapisze interesujący Cię wzorzec. Na przykład, aby wykrywać nieudane próby logowania w dzienniku Security, użyj funkcji [find()](/manual/appendix/functions/history#find):

   find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")

2\. Przejdź do [*User settings > Profile*](/manual/web_interface/user_profile), przejdź do karty *Media* i [dodaj swój adres e-mail](/manual/quickstart/login#adding-user).

![](../../../assets/en/manual/quickstart/new_media.png){width="600"}

3\. Postępuj zgodnie z przewodnikiem dotyczącym [otrzymywania powiadomienia o problemie](/manual/quickstart/notification).

Następnym razem, gdy Zabbix wykryje problem, powinieneś otrzymać alert e-mail.

[comment]: # ({/1a15be37-c98bb7b1})

[comment]: # ({e3501cd1-d7537870})
#### Rozwiązywanie problemów

Jeśli napotkasz problemy ze zbieraniem lub wyświetlaniem dzienników zdarzeń systemu Windows, skorzystaj z poniższych wskazówek, aby zidentyfikować i rozwiązać typowe problemy:

1\. Na serwerze Zabbix (Linux) wyświetl reguły iptables za pomocą następującego polecenia:

```bash
sudo iptables -L -n
```

i sprawdź, czy istnieje reguła ACCEPT dla portu TCP 10051.

2\. Upewnij się, że klucz `eventlog[...]` używa dokładnej nazwy dziennika (z uwzględnieniem wielkości liter), identyfikatora zdarzenia, trybu (np. skip) oraz innych parametrów dokładnie tak, jak pokazano w [kluczach pozycji specyficznych dla systemu Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items).

[comment]: # ({/e3501cd1-d7537870})

[comment]: # ({d8627728-aeb05d60})
**Zobacz także:**

- [Tworzenie pozycji](/manual/config/items/item) - dowiedz się, jak dodawać dodatkowe metryki.
- [agent Zabbix na Microsoft Windows](/manual/appendix/install/windows_agent) - szczegółowe instrukcje instalacji.
- [Monitorowanie Windows za pomocą agent Zabbix](/manual/guides/monitor_windows) - kompleksowy przewodnik po konfiguracji podstawowego monitorowania komputerów z systemem Windows przy użyciu agent Zabbix.
- [Klucze pozycji specyficzne dla Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys) - szczegółowe informacje o kluczach pozycji specyficznych dla Windows obsługiwanych przez agent Zabbix, w tym dotyczących monitorowania dziennika zdarzeń.
- [Monitorowanie plików dziennika](/manual/config/items/itemtypes/zabbix_agent/log_items) - instrukcje dotyczące konfiguracji Zabbix do scentralizowanego monitorowania i analizy plików dziennika, mające zastosowanie do dzienników zdarzeń Windows.

[comment]: # ({/d8627728-aeb05d60})