[comment]: # ({f5f86322-e03ef403})
# 11 Пратите дневник догађаја у систему Windows помоћу активних провера

[comment]: # ({/f5f86322-e03ef403})

[comment]: # ({8db5cba7-9c880c53})
#### Увод

Овај водич објашњава како пратити дневнике догађаја у систему Windows помоћу Zabbix-а користећи активне провере. Са Zabbix кључевима специфичним за Windows, можете прикупљати и анализирати критичне догађаје (као што су неуспели покушаји пријављивања, системске грешке итд.) у реалном времену.

**За кога је овај водич**

Овај водич је намењен новим Zabbix корисницима и мрежним администраторима који желе да прате дневнике догађаја у систему Windows. За напредне опције конфигурације, погледајте документацију [кључеви специфични за Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items).

**Предуслови**

Пре него што наставите са овим водичем, потребно је да [преузмете и инсталирате](https://www.zabbix.com/download) Zabbix сервер и Zabbix кориснички интерфејс према упутствима за ваш оперативни систем. Такође вам је потребан Zabbix агент [преузет и инсталиран](https://www.zabbix.com/download_agents) на Windows машини коју желите да пратите.

[comment]: # ({/8db5cba7-9c880c53})

[comment]: # ({369d3299-320398a9})
#### Конфигуришите Zabbix агента за праћење дневника догађаја у Windows-у

1. Отворите `zabbix_agentd.conf` (подразумевана путања `C:\Program Files\Zabbix Agent\zabbix_agentd.conf`) на вашем Windows хосту и уверите се да је параметар [ServerActive](/manual/appendix/config/zabbix_agentd_win#serveractive) подешен на IP адресу вашег Zabbix сервера, а параметар [Hostname](/manual/appendix/config/zabbix_agentd_win#hostname) се подудара са именом хоста које ће бити дефинисано у [Zabbix frontend](#configure-zabbix-frontend). Ово омогућава агенту да захтева активне провере за свој хост и са наведеног Zabbix сервера. На пример:

```ini
ServerActive=192.0.2.0
Hostname=MyWindowsHost
```

2. Поново покрените Zabbix агент сервис да бисте применили промене:

```bash
net stop "Zabbix Agent" && net start "Zabbix Agent"
```

3. Проверите да ли Windows хост ради:

- Уверите се да Zabbix агент сервис ради на Windows хосту.
- Проверите да ли Windows хост може да се повеже са Zabbix сервером на порту 10051. Да бисте тестирали повезивање са Windows хоста, отворите PowerShell и покрените следећу команду:

```powershell
Test-NetConnection -ComputerName <Zabbix-server-IP> -Port 10051
```

[comment]: # ({/369d3299-320398a9})

[comment]: # ({f513db56-25228513})
#### Конфигуришите Zabbix кориснички интерфејс

1. Идите на *Прикупљање података > Домаћини* и [креирајте домаћина](/manual/config/hosts/host):

- У поље *Име домаћина* унесите име хоста (нпр. „MyWindowsHost“).
- У поље *Групе домаћина* унесите или изаберите групу хостова (нпр. „Праћење дневника догађаја“).
- Притисните *Додај* да бисте сачували конфигурисани домаћин.

::: noteclassic
У поље *Шаблони* можете додати шаблон "Windows by Zabbix агент active" како бисте лакше решавали проблеме посматрајући да ли се друге активне ставке на истом домаћину ажурирају.
:::

![](../../../assets/en/manual/guides/eventlog_host.png){width="600"}

2. Направите нову ставку са следећим параметрима:

-  У поље *Назив* унесите описни назив ставке (нпр. „Безбедносни дневник: неуспешни догађаји пријављивања“).
-  У падајућем менију *Тип* изаберите "Zabbix агент (активан)" (потребно за праћење дневника догађаја).
-  У пољу *Кључ* користите кључ ставке [eventlog](/manual/config/items/itemtypes/zabbix_agent/win_keys#eventlog). На пример, да бисте пратили неуспеле покушаје пријављивања (ID догађаја: 4625) у безбедносном дневнику и игнорисали уносе старије од последње провере ставке (користећи параметар `skip`), унесите следећи кључ ставке: `eventlog[Security,,,,4625,,skip]`
-  У падајућем менију *Тип информација* изаберите "Дневник".

![](../../../assets/en/manual/guides/eventlog_item.png){width="600"}

3\. Кликните на *Додај* да бисте сачували ставку.

[comment]: # ({/f513db56-25228513})

[comment]: # ({dd0a5b78-a35d4c3a})
#### Тестирање и преглед прикупљених метрика

Честитамо! Zabbix је сада подешен да прикупља ваше Windows евиденције догађаја.
Да бисте проверили да ли се евиденције догађаја прикупљају, можете тестирати ставку "Безбедносна евиденција: неуспешни догађаји пријављивања" тако што ћете се одјавити са свог Windows налога и покушати да се пријавите користећи погрешне акредитиве.

Затим, прегледајте прикупљене евиденције у Zabbix кориснички интерфејс:

1. Идите на *Праћење > Најновији подаци* у Zabbix кориснички интерфејс.

![](../../../assets/en/manual/guides/eventlog_latestdata.png){width="600"}

2. Филтрирајте по вашем "MyWindowsHost" домаћину у пољу *Име*.

3. Кликните на *Историја* да бисте видели забележене вредности евиденције.

![](../../../assets/en/manual/guides/eventlog_history.png){width="600"}

4. Ако вредности дневника недостају, пређите на одељак [Решавање проблема](#troubleshooting) у водичу.

[comment]: # ({/dd0a5b78-a35d4c3a})

[comment]: # ({1a15be37-c98bb7b1})
#### Подешавање упозорења о проблемима

Овај водич пружа основне кораке за конфигурацију слања упозорења путем е-поште.

1. Идите на Прикупљање података > Домаћини да бисте [дефинисали окидач](/manual/quickstart/trigger#adding-trigger) који се активира када ваша ставка дневника догађаја забележи образац који вас занима. На пример, да бисте ухватили неуспеле покушаје пријављивања у дневнику безбедности, користите функцију [find()](/manual/appendix/functions/history#find):

  find(/MyWindowsHost/eventlog[Security,,,,4625,,skip],10m,"like","Пријављивање није успело")

2. Идите на [*Подешавања корисника > Профил*](/manual/web_interface/user_profile), пређите на картицу *Медији* и [додајте своју е-пошту](/manual/quickstart/login#adding-user).

![](../../../assets/en/manual/quickstart/new_media.png){width="600"}

3\. Пратите водич за [Примање обавештења о проблему](/manual/quickstart/notification).

Следећи пут, када Zabbix открије проблем, требало би да добијете обавештење путем е-поште.

[comment]: # ({/1a15be37-c98bb7b1})

[comment]: # ({e3501cd1-d7537870})
#### Решавање проблема

Ако наиђете на проблеме са прикупљањем или прегледом дневника догађаја система Windows, користите савете у наставку да бисте идентификовали и решили уобичајене проблеме:

1. На Zabbix серверу (Linux) наведите своја iptables правила помоћу следеће команде:

```bash
sudo iptables -L -n
```

и проверите да ли постоји ACCEPT правило за TCP порт 10051.

2. Уверите се да ваш кључ `eventlog[...]` користи тачно име дневника (разликује велика и мала слова), ID догађаја, режим (нпр. skip) и друге параметре тачно онако како је приказано у [Кључеви ставки специфични за Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys#windows-specific-items).

[comment]: # ({/e3501cd1-d7537870})

[comment]: # ({653b68d6-aeb05d60})
**Погледајте такође:**

- [Креирање ставке](/manual/config/items/item) - сазнајте како да додате додатне метрике.
- [Zabbix агент на Microsoft Windows-у](/manual/appendix/install/windows_agent) - детаљна упутства за инсталацију.
- [Праћење Windows-а помоћу Zabbix агента](/manual/guides/monitor_windows) - свеобухватан водич за подешавање основног праћења за Windows машине помоћу Zabbix агента.
- [Кључеви ставки специфични за Windows](/manual/config/items/itemtypes/zabbix_agent/win_keys) - детаљне информације о кључевима ставки специфичним за Windows које подржавају Zabbix агенти, укључујући оне за праћење дневника догађаја.
- [Праћење датотека дневника](/manual/config/items/itemtypes/log_items) - упутства за конфигурисање Zabbix-а за централизовано праћење и анализу датотека дневника, применљиво на дневнике догађаја Windows-а.

[comment]: # ({/653b68d6-aeb05d60})