Zabbix 2.2でWindowsイベントログを取得する為のメモ


Zabbix2.2で、各Windows監視対象のイベントログを取得できるみたいなので、やってみた。

監視対象にAgentインストールして、アクティブチェック機能を有効にした状態で動作させる必要があります。

ちゃんと、日本語文字列も化けないで取り込めるのでうれしい。
SNMP関係やZabbix_Senderは普通に使うと文字化けしてしまうので、対応方法を思案中・・・・・

Zabbix_Senderの文字化け対策のほうは何とか見つけたので、そちらは後日。

以下設定メモ

Agent側で必要と思われる設定

  • 取得対象のWindowsにZabbixAgentをインストールする
    Agentはインストーラ付のZabbixAgent1.8.15でもOK
    デフォルトのインストール先はC:\Program Files\ZABBIX Agent
  • ZabbixAgent設定のServerに、ZabbixServerのIPアドレスを設定する。
    (ZabbixServer側でSourceIPを設定している場合はそれに合わせる)
    Server=192.168.29.153
  • ZabbixAgent設定のHostsNameには、
    ZabbixServer上での監視対象のホスト名と一致させる必要がある。
    IPで登録している場合は、IPアドレスを指定。
    HostsName=192.168.29.40
  • ZabbixAgent設定にDisableActive=0と設定するか、コメント化されている必要がある。
    (アクティブチェックを有効にする必要有り)

zabbix_agentのサービスを再起動して、以下のようなエラーメッセージが出ないことを確認
HostsNameが一致していないと、2分ぐらいに1回、以下のようなメッセージが出る模様
3192:20140113:142500.960 No active checks on server: host [xp-vmclient] not found

 

 

Zabbixサーバ側の設定

アイテム設定

システムイベントログ
タイプ ZABBIXエージェント(アクティブ)
キー eventlog[system]
データ型 ログ

アプリケーションイベントログ
タイプ ZABBIXエージェント(アクティブ)
キー eventlog[application]
データ型 ログ

セキュリティイベントログ
タイプ ZABBIXエージェント(アクティブ)
キー eventlog[security]
データ型 ログ

Windowsサーバだとほかに、
「Directory Service」、「File Replication Service」も参照できるそうです。

 

トリガー設定

トリガーには以下の項目が設定可能

ログの出力元アプリケーションを指定する場合
書式
{%HOST%:eventlog[system].logsource(文字列)}=判定
判定
1=文字列にマッチする
0=文字列にマッチしない

ログ内の文字列を指定する場合
書式
{%HOST%:eventlog[system].iregexp(文字列)}=判定
判定
1=文字列にマッチする
0=文字列にマッチしない

ログ内の深刻度(重要度)を指定
書式
{%HOST%:eventlog[system].logseverity()}=判定
判定
1=情報
2=警告
4=エラー
8=セキュリティ

テンプレートのサンプルとして、以下のものがZabbix2.2.xでも使えました。
https://www.zabbix.com/wiki/templates/windows/eventlog

 

名称やトリガ条件などをちょっとだけ変えて使っています。
ちょっこっといじったテンプレート(異常発生30秒で自動回復するよう変更)

Template Windows Event Log.xml

 


コメントを残す

メールアドレスが公開されることはありません。