2.4.3）防火墻配置：firewall.cpl

#允許10050端口（默認(rèn)端口）

2.4.4）啟動zabbix_agent

2.5）了解windows安全日志：

審核失敗：如果有人惡意輸錯用戶名密碼訪問。

三、服務(wù)器配置：

3.1）新增動作配置：

3.2：創(chuàng)建監(jiān)控項(xiàng)：

3.2.1）賬戶登陸成功監(jiān)控項(xiàng)：

新建應(yīng)用集：Event Log

名稱：賬戶登陸成功

類型：zabbix客戶端（主動式）

鍵值：eventlog[Security,,"Success Audit",,^4624$,,skip]

參數(shù)一 Security：事件的日志名稱。

? ??參數(shù)三 "Success Audit"：事件的severity。

? ? 參數(shù)五 ^4624$：這是一個正則表達(dá)式，匹配事件ID等于4624的日志。

? ? 參數(shù)七 skip：含義是不監(jiān)控已產(chǎn)生的歷史日志，如果省略skip，會監(jiān)控出符合以上條件的歷史日志信息。

信息類型：日志

監(jiān)控間隔：60s

歷史保留時長7天

3.2.2）賬戶登陸失敗監(jiān)控項(xiàng)：

3.3）創(chuàng)建觸發(fā)器：

3.3.1）登陸成功的觸發(fā)器：

表達(dá)式的含義為：如果在60秒內(nèi)有監(jiān)控到數(shù)據(jù)，并且監(jiān)控內(nèi)容不包含字符串"Advapi"則觸發(fā)告警，如果60秒內(nèi)沒有新的數(shù)據(jù)了，則觸發(fā)器恢復(fù)OK。簡單點(diǎn)說就是，用戶登錄后觸發(fā)器觸發(fā)至少會持續(xù)60秒，如果用戶不斷的登錄成功，間隔小于60秒，則觸發(fā)器一直是problem狀態(tài)。

3.3.2)賬戶登陸失敗觸發(fā)器：

表達(dá)式的含義為：如果在60秒內(nèi)有監(jiān)控到數(shù)據(jù)，并且監(jiān)控內(nèi)容不包含字符串"Advapi"則觸發(fā)告警。如果60秒后沒有新的數(shù)據(jù)了，則觸發(fā)器恢復(fù)OK。如果有人不斷的惡意破解登錄密碼，你會發(fā)現(xiàn)觸發(fā)器problem狀態(tài)會一直存在。

四、觸發(fā)：

mstsc或者登陸本機(jī)，查收郵件：