[comment]: # ({f5f86322-e03ef403})
# 11 Мониторинг журнала событий Windows с использованием активных проверок

[comment]: # ({/f5f86322-e03ef403})

[comment]: # ({8db5cba7-9c880c53})
#### Введение

Это руководство объясняет, как отслеживать журналы событий Windows с помощью Zabbix, используя активные проверки. С помощью ключей элементов данных Zabbix, специфичных для Windows, вы можете собирать и анализировать критические события (например, неудачные попытки входа в систему, системные ошибки и т. д.) в реальном времени.

**Для кого предназначено это руководство**

Это руководство предназначено для новых пользователей Zabbix и сетевых администраторов, которые хотят отслеживать журналы событий Windows. Дополнительные параметры настройки см. в документации по [ключам элементов данных, специфичным для Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items).

**Предварительные требования**

Перед тем как продолжить работу с этим руководством, вам необходимо [скачать и установить](https://www.zabbix.com/download) сервер Zabbix и веб-интерфейс Zabbix в соответствии с инструкциями для вашей ОС. Вам также нужно, чтобы агент Zabbix был [скачан и установлен](https://www.zabbix.com/download_agents) на компьютере Windows, который вы хотите отслеживать.

[comment]: # ({/8db5cba7-9c880c53})

[comment]: # ({5e430c36-320398a9})
#### Настройка агента Zabbix для мониторинга журнала событий Windows

1\. Откройте `zabbix_agentd.conf` (путь по умолчанию `C:\Program Files\Zabbix Agent\zabbix_agentd.conf`) на вашем узле сети Windows и убедитесь, что параметр [ServerActive](/manual/concepts/agent/agentd_params_win#serveractive) установлен в IP-адрес вашего сервера Zabbix, а параметр [Hostname](/manual/concepts/agent/agentd_params_win#hostname) соответствует имени узла сети, которое будет задано в [веб-интерфейсе Zabbix](#configure-zabbix-frontend). Это позволяет агенту запрашивать активные проверки для своего узла сети и у указанного сервера Zabbix. Например:
   
```ini
ServerActive=192.0.2.1
Hostname=MyWindowsHost
```

2\. Перезапустите службу агента Zabbix, чтобы применить изменения:

```bash
net stop "Zabbix Agent" && net start "Zabbix Agent"
```

3\. Проверьте, что узел сети Windows работает:

-   Убедитесь, что служба агента Zabbix запущена на узле сети Windows.
-   Проверьте, что узел сети Windows может подключиться к серверу Zabbix на порту 10051. Чтобы проверить подключение с узла сети Windows, откройте PowerShell и выполните следующую команду:

```powershell
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051
```

[comment]: # ({/5e430c36-320398a9})

[comment]: # ({8d9e67c5-25228513})
#### Настройка веб-интерфейса Zabbix

1\. Перейдите в *Сбор данных > Узлы сети* и [создайте узел сети](/manual/config/hosts/host):

-   В поле *Имя узла сети* введите имя узла сети (например, "MyWindowsHost").
-   В поле *Группы узлов сети* введите или выберите группу узлов сети (например, "Event log Monitoring").
-   Нажмите *Добавить*, чтобы сохранить настроенный узел сети.

::: noteclassic
В поле *Шаблоны* вы можете добавить шаблон "Windows by Zabbix agent active", чтобы помочь в поиске неисправностей, наблюдая, обновляются ли другие активные элементы данных на том же узле сети.
:::

![](../../../assets/en/manual/guides/eventlog_host.png){width="600"}

2\. Создайте новый элемент данных со следующими параметрами:

-  В поле *Имя* введите описательное имя элемента данных (например, "Security log: failed logon events").
-  В раскрывающемся списке *Тип* выберите "Zabbix agent (active)" (требуется для мониторинга журнала событий).
-  В поле *Ключ* используйте ключ элемента данных [eventlog](/manual/config/items/itemtypes/zabbix_agent/win_keys#eventlog). Например, чтобы отслеживать неудачные попытки входа в систему (Event ID: 4625) в журнале Security и игнорировать записи, более старые, чем последняя проверка элемента данных (с использованием параметра `skip`), введите следующий ключ элемента данных: `eventlog[Security,,,,4625,,skip]`
-  В раскрывающемся списке *Тип информации* выберите "Log".

![](../../../assets/en/manual/guides/eventlog_item.png){width="600"}

3\. Нажмите *Добавить*, чтобы сохранить элемент данных.

[comment]: # ({/8d9e67c5-25228513})

[comment]: # ({dd0a5b78-a35d4c3a})
#### Проверка и просмотр собранных метрик

Поздравляем! Zabbix теперь настроен на сбор журналов событий Windows.
Чтобы убедиться, что журналы событий собираются, вы можете протестировать элемент данных "Security log: failed logon events", выйдя из своей учетной записи Windows и попытавшись войти с неверными учетными данными.

Затем просмотрите собранные журналы в веб-интерфейсе Zabbix:

1\. Перейдите в *Monitoring > Latest data* в веб-интерфейсе Zabbix.

![](../../../assets/en/manual/guides/eventlog_latestdata.png){width="600"}

2\. Отфильтруйте по узлу сети "MyWindowsHost" в поле *Name*.

3\. Нажмите *History*, чтобы просмотреть записанные значения журнала. 

![](../../../assets/en/manual/guides/eventlog_history.png){width="600"}

4\. Если значения журнала отсутствуют, перейдите к разделу [Troubleshooting](#troubleshooting) руководства.

[comment]: # ({/dd0a5b78-a35d4c3a})

[comment]: # ({01f6f437-c98bb7b1})
#### Настройка оповещений о проблемах

Это руководство содержит основные шаги настройки для отправки оповещений по электронной почте.

1\. Перейдите в Data collection > Hosts, чтобы [определить триггер](/manual/installation/quick_guides/basic_config/trigger#adding-trigger), который срабатывает, когда элемент данных журнала событий записывает интересующий вас шаблон. Например, чтобы отлавливать неудачные попытки входа в журнале Security, используйте функцию [find()](/manual/config/triggers/expression/history#find):

   find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Logon failed")

2\. Перейдите в [*User settings > Profile*](/manual/web_interface/user_profile), откройте вкладку *Media* и [добавьте свой email](/manual/installation/quick_guides/basic_config/login#adding-user).

![](../../../assets/en/manual/quickstart/new_media.png){width="600"}

3\. Следуйте руководству [Получение уведомления о проблеме](/manual/installation/quick_guides/basic_config/notification).

В следующий раз, когда Zabbix обнаружит проблему, вы должны получить оповещение по электронной почте.

[comment]: # ({/01f6f437-c98bb7b1})

[comment]: # ({e3501cd1-d7537870})
#### Устранение неполадок

Если у вас возникают проблемы со сбором или просмотром журналов событий Windows, воспользуйтесь приведенными ниже советами, чтобы выявить и устранить распространенные проблемы:

1\. На сервере Zabbix (Linux) выполните следующую команду, чтобы вывести правила iptables:

```bash
sudo iptables -L -n
```

и убедитесь, что для TCP-порта 10051 есть правило ACCEPT.

2\. Убедитесь, что в ключе `eventlog[...]` используется точное имя журнала (с учетом регистра), идентификатор события, режим (например, skip) и другие параметры в точности так, как показано в [ключах элементов данных, специфичных для Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items).

[comment]: # ({/e3501cd1-d7537870})

[comment]: # ({d8627728-aeb05d60})
**См. также:**

- [Создание элемента данных](/manual/config/items/item) - узнайте, как добавлять дополнительные метрики.
- [Агент Zabbix в Microsoft Windows](/manual/appendix/install/windows_agent) - подробные инструкции по установке.
- [Мониторинг Windows с помощью агента Zabbix](/manual/guides/monitor_windows) - подробное руководство по настройке базового мониторинга для компьютеров Windows с использованием агента Zabbix.
- [Ключи элементов данных, специфичные для Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys) - подробная информация о ключах элементов данных для Windows, поддерживаемых агентами Zabbix, включая ключи для мониторинга журналов событий.
- [Мониторинг файлов журналов](/manual/config/items/itemtypes/zabbix_agent/log_items) - инструкции по настройке Zabbix для централизованного мониторинга и анализа файлов журналов, применимо к журналам событий Windows.

[comment]: # ({/d8627728-aeb05d60})