CentOS 7環(huán)境下Zabbix 4安裝和配置實(shí)例

1、 CentOS 7 環(huán)境下 Zabbix 4安裝和配置實(shí)例 1. 安裝準(zhǔn)備Zabbix4.0對(duì)基礎(chǔ)架構(gòu)有一定的要求，尤其是對(duì)PHP和MySQL：2. 安裝環(huán)境Zabbix Server運(yùn)行在CentOS上，Zabbix Agent可以運(yùn)行主流的操作系統(tǒng)上，本文檔的安裝環(huán)境為：3. 安裝配置Zabbix Server3.1. 安裝Zabbix Server首先，獲取Zabbix官方的YUM源：值得注意的是，官方的Yum源文件版本可能隨時(shí)更新，本文列出的地址如果無(wú)法下載，可以到官方的主站尋求最新的版本：/zabbix/其次，獲取epel官方的YUM源：值得注意的是，官方的Yum源文件版本可能隨時(shí)更

2、新，本文列出的地址如果無(wú)法下載，可以到官方的主站尋求最新的版本：.hk/pub/linux/fedora-epel/7/x86_64/Packages/e/shell rpm -ivh .hk/pub/linux/fedora-epel/7/x86_64/Packages/e/epel-release-7-11.noarch.rpm然后，安裝依賴包：shell yum install httpd php php-mysql php-gd php-bcmath php-common php-xml php-mbstring php-cliZabbix 需要的 PHP 擴(kuò)展庫(kù)：- php-mysq

3、l：使用MySQL作為Zabbix后端數(shù)據(jù)庫(kù)所需要的組件；- php-gd：PHP GD擴(kuò)展庫(kù)必須支持 PNG 圖像(-with-png-dir)、JPEG 圖像 (-with-jpeg-dir)和FreeType2(-with-freetype-dir)；- php-bcmath：包含所需的bcmath；- php-common：包含所需的ctype和php-session擴(kuò)展；- php-xml：包含所需的libXML、xmlreader和xmlwriter擴(kuò)展。- php-mbstring：包含所需的mbstring擴(kuò)展。shell yum install pcre glibc gcc

4、livevent zlib libcurl-devel curl-devel OpenIPMI-devel libssh2 fping net-snmp-devel perl-DBI openssl-devel iksemel libxml2 ntpZabbix 需要的依賴包：- pcre：為強(qiáng)制安裝的包。用來(lái)支持Perl Compatible Regular Expression（PCRE）；- gcc：為強(qiáng)制安裝的包。即編譯器，- glibc：為強(qiáng)制安裝的包。即libc運(yùn)行庫(kù)，其中包含了所需的Libpthread- libevent：為強(qiáng)制安裝的包，用來(lái)支持 IPMI；- zlib：為強(qiáng)制

5、安裝的包。用來(lái)支持壓縮；- libcurl-devel、curl-devel：為可選安裝包，但建議安裝。用來(lái)支持 Web 監(jiān)控；- OpenIPMI-devel：為可選安裝包，按需安裝。用來(lái)支持IPMI監(jiān)控；- libssh2：為可選安裝包。用來(lái)支持SSH功能；- fping: 為可選安裝包，但建議安裝。用來(lái)支持ICMP Ping監(jiān)控；- net-snmp-devel：為可選安裝包，按需安裝。用來(lái)支持SNMP監(jiān)控；- iksemel：為可選安裝包，按需安裝。用來(lái)支持 Zabbix 報(bào)警媒介 Jabber；- libxml2：為可選安裝包，按需安裝。用來(lái)支持 VMware 監(jiān)控；- ntp：為可

6、選安裝包，但強(qiáng)烈建議安裝。用來(lái)保持 Zabbix 精準(zhǔn)的時(shí)間。最后，安裝Zabbix-Server。shell yum install zabbix-agent zabbix-server-mysql zabbix-web-mysql zabbix-get zabbix-webZabbix 服務(wù)端上的安裝包：- zabbix-agent：為可選安裝包，但在 Zabbix Server 上建議安裝。Zabbix 客戶端代理程序；- zabbix-server-mysql、zabbix-web-mysql：為強(qiáng)制安裝的包。前者用來(lái)存放采集到的數(shù)據(jù)，后來(lái)為前端所需；- zabbix-get：為可選安

7、裝包，但在 Zabbix Server 上建議安裝。Zabbix 用來(lái)手動(dòng)采集數(shù)據(jù)的命令；- zabbix-web：為可選安裝包，但在 Zabbix Server 上建議安裝。Zabbix用來(lái)監(jiān)控 Web 服務(wù)的。- zabbix-java-gateway：為可選安裝包，按需安裝。Zabbix 的 JAVA 采集服務(wù)端，用于 JMX 的監(jiān)控方式。Zabbix 客戶端上的安裝包：- zabbix-agent：為強(qiáng)制安裝包。Zabbix 客戶端代理程序；- zabbix-sender：為可選安裝包，但強(qiáng)烈建議安裝。Zabbix agent 向 Zabbix server 手動(dòng)發(fā)送數(shù)據(jù)的命令；- z

8、abbix-proxy-mysql：為可選安裝包，按需安裝。Zabbix proxy 是 Zabbix 代理服務(wù)的程序，適用于分布式監(jiān)控環(huán)境。3.2. 安裝數(shù)據(jù)庫(kù)（PerconaDB 5.7）首先，獲取PerconaDB官方的YUM源：值得注意的是，官方的Yum源文件版本可能隨時(shí)更新，本文列出的地址如果無(wú)法下載，可以到官方的主站尋求最新的版本：/downloads/percona-release/redhat/shell yum install /redir/downloads/percona-release/redhat/0.1-6/percona-release-0.1-6.noarch.

9、rpm其次，通過(guò)YUM方式安裝PerconaDB 57。再次，修改PerconaDB的配置文件。值得注意的是：- 如果修改socket的文件位置，那么 Zabbix 配置文件中DBSocket=參數(shù)也需要修改，單方面修改的話 Zabbix 會(huì)提示連接不到數(shù)據(jù)庫(kù)；- 原則上 innodb_buffer_pool_size 需要設(shè)置為主機(jī)內(nèi)存的 80% ;然后，初始化數(shù)據(jù)庫(kù)：最后，在Percona里面創(chuàng)建Zabbix數(shù)據(jù)庫(kù)，并修改權(quán)限。3.3. 配置NTP時(shí)間同步Zabbix Server對(duì)時(shí)間的精確要求比較高，時(shí)間對(duì)數(shù)據(jù)的計(jì)算等都有影響。因此，可以自建NTP服務(wù)器，或同步網(wǎng)絡(luò)時(shí)間。如下，使用Cr

10、ontab同步網(wǎng)絡(luò)時(shí)間。3.4. 導(dǎo)入數(shù)據(jù)庫(kù)首先，獲取Zabbix的數(shù)據(jù)庫(kù)。最后，使用Percona來(lái)Zabbix的初始數(shù)據(jù)庫(kù)schema和數(shù)據(jù)。3.5. 禁用Selinux以及按需禁用或者配置防火墻防火墻可以按需配置，可以暫時(shí)關(guān)閉，后面再進(jìn)行配置，但 Selinux必須關(guān)閉，否則后面啟動(dòng)Zabbix server的時(shí)候會(huì)報(bào)錯(cuò)。3.6. 修改Zabbix Server的配置文件在zabbix_server.conf中有很多參數(shù)需要修改，此時(shí)先將Zabbix連接Percona的信息配置好，包括先前創(chuàng)建的數(shù)據(jù)庫(kù)、其用戶名和密碼。需要注意的是，這里的參數(shù)必須和之前創(chuàng)建數(shù)據(jù)庫(kù)的信息一致，否則后面運(yùn)行Z

11、abbix server時(shí)會(huì)有無(wú)法連接到數(shù)據(jù)庫(kù)的報(bào)錯(cuò)。3.7. 配置PHP首先，Zabbix需要修改PHP的時(shí)區(qū)。最后，適當(dāng)修改一些PHP配置文件的參數(shù)。3.8. 修改Web顯示文字為微軟雅黑首先，將微軟雅黑的字體msyh.ttf上傳到/usr/share/zabbix/fonts/目錄下：最后，修改配置文件使用微軟雅黑字體。將代碼區(qū)第 2 行和第 3 行的graphfont改為上傳的中文字體，本例使用的字體為msyh（代碼區(qū)內(nèi)容所在為63行和108行, vi設(shè)置了set=number）。3.9. 配置Apache首先，設(shè)置HTTPD開(kāi)機(jī)自啟。重啟并訪問(wèn)Apache的默認(rèn)頁(yè)面。然后，為了安全起

12、見(jiàn)，可以刪除Apache測(cè)試頁(yè)面。最后，同樣地，為了安全起見(jiàn)，禁用Apache的目錄列表配置。在Apache的配置文件中找到該行，將該行中的Indexes去掉，并重啟進(jìn)程。3.10. 啟動(dòng)Zabbix啟動(dòng)zabbix-agent和zabbix-server，并將其添加到開(kāi)機(jī)自啟動(dòng)。4. 配置Zabbix Web管理頁(yè)面首先，瀏覽器鍵入http:IP/zabbix，點(diǎn)擊Next step進(jìn)行下一步；其次，會(huì)出現(xiàn)檢查PHP配置的頁(yè)面。此前PHP已修改了相應(yīng)參數(shù)，點(diǎn)擊Next step進(jìn)行下一步：再次，會(huì)出現(xiàn)配置zabbix數(shù)據(jù)庫(kù)的頁(yè)面。其中Database host由localhost修改為，Da

13、tabase port默認(rèn)，Database name、User、Password為之前建立數(shù)據(jù)庫(kù)的數(shù)據(jù)庫(kù)名和用戶名密碼, 點(diǎn)擊Next step進(jìn)行下一步；此頁(yè)默認(rèn)不需要修改，直接點(diǎn)擊Next step進(jìn)行下一步；然后，會(huì)出現(xiàn)配置信息匯總頁(yè)面，待確認(rèn)無(wú)誤后點(diǎn)擊Next step進(jìn)行下一步；點(diǎn)擊Finish完成安裝。最后，完成配置，進(jìn)入登錄界面，輸入默認(rèn)的用戶名Admin和密碼zabbix，點(diǎn)擊Sign in登錄。值得注意的是：如果此后需要修改，可以通過(guò)http:/ip/zabbix/setup.php地址進(jìn)行重新配置。5. 升級(jí)Zabbix5.1. 主要版本間的升級(jí)首先，主要版本間的升級(jí)，需

14、要先閱讀官方的升級(jí)說(shuō)明，再進(jìn)行升級(jí)。其次，備份Zabbix數(shù)據(jù)庫(kù)。再次，備份Zabbix Server的配置文件、PHP文件和Zabbix二進(jìn)制文件。然后，更新新版的Zabbix官方Y(jié)UM，并通過(guò)YUM UPGRADE進(jìn)行升級(jí)。最后，待更新完成后, 重新修改中文字體(每次更新后必須修改)。將代碼區(qū)行的graphfont改為上傳的中文字體。5.1.1. Zabbix 3.2升級(jí)至Zabbix 3.4首先，停止Zabbix Server和Zabbix agent其次，備份數(shù)據(jù)庫(kù)、Zabbix Server的配置文件、PHP文件和Zabbix二進(jìn)制文件。再次，卸載當(dāng)前的Zabbix 3.2版本。然后

15、，安裝Zabbix 3.4?；謴?fù)之前的Zabbix配置文件重新配置下Zabbix前端的配置文件最后，啟動(dòng)Zabbix3.4，并檢查數(shù)據(jù)庫(kù)的升級(jí)日志。5.1.2. Zabbix 3.4升級(jí)至Zabbix 4.05.2. 次要版本升級(jí)如果要升級(jí)Zabbix的次要版本（例如，從 4.0.1 升級(jí)至 4.0.3），是非常容易的：shell yum upgrade zabbix*待升級(jí)完成后，重新修改中文字體(每次更新后必須修改)。將代碼區(qū)行的graphfont改為上傳的中文字體。6. 安裝配置Zabbix Agent6.1. 獲取Zabbix Agent從Zabbix Download獲取下載地址：下

16、載地址: /download6.2. 安裝配置Linxu Agent在CentOS上安裝Zabbix agent，可以通過(guò)YUM安裝直接安裝RPM包，還可以通過(guò)源碼編譯安裝，在Zabbix 3.4版本之前，官方還提供Precompiled agents介質(zhì)，下面使用YUM直接安裝：首先，客戶端添加官方Y(jié)UM，并通過(guò)YUM安裝Zabbix agent：然后，按需根據(jù)修改配置文件：最后，配置防火墻，啟動(dòng)Zabbix agent，并配置開(kāi)機(jī)自啟：6.3. 安裝配置AIX Agent在AIX上安裝Zabbix agent，有兩種安裝方式。一種為從官網(wǎng)下載預(yù)編譯好的介質(zhì)（Precompiled agen

17、ts）進(jìn)行安裝，另一種是通過(guò)源碼包編譯安裝。值得注意的是，Zabbix agent已從3.0LTS版本開(kāi)始便不再支持AIX 6.1之前的版本，建議在AIX低版本使用對(duì)應(yīng)的Zabbix agent版本，其對(duì)應(yīng)版本支持如下：6.3.1. 預(yù)編譯文件安裝AIX Agent首先，從官網(wǎng)下載頁(yè)面下載預(yù)編譯好的介質(zhì)（Precompiled agents），并解壓到目標(biāo)位置，解壓目標(biāo)位置可以根據(jù)需要決定。其次，添加Zabbix用戶和用戶組：再次，將配置文件和agent二進(jìn)制進(jìn)程文件復(fù)制到指定目錄下：根據(jù)當(dāng)前環(huán)境修改配置文件：然后，添加隨系統(tǒng)開(kāi)機(jī)自啟動(dòng)（AIX6.1），需要將對(duì)應(yīng)的Zabbix Agent的源

18、碼包下載下來(lái)zabbix-2.4.8.tar.gz，待解壓后，將目錄zabbix-2.4.8miscinit.daix下zabbix_agentd文件拷貝到/etc/rc.d/rc2.d下：最新，增設(shè)相應(yīng)權(quán)限，并啟動(dòng)Zabbix agent進(jìn)程。6.3.2. 通過(guò)源碼文件安裝AIX Agent通過(guò)源碼文件編譯安裝，需要先解決依賴包，待所有依賴包安裝完成后，即可編譯安裝Zabbix agent。6.4. 安裝配置Windows Agent首先，在Windows上安裝Zabbix agent，從官網(wǎng)下載預(yù)編譯好的介質(zhì)（Precompiled agents），并解壓到目標(biāo)位置，解壓目標(biāo)位置可以根據(jù)需

19、要決定，下代碼區(qū)為Windows上的Zabbix agent目錄文件結(jié)構(gòu)：其次，修改zabbix_agentd.win.conf配置文件，其中LogFile是日志存放的位置，Server為Zabbix Server的地址，ServerActive為開(kāi)啟主動(dòng)模式并配置Zabbix Server的地址， Hostname為本地客戶端的主機(jī)名或IP地址。然后，執(zhí)行安裝命令進(jìn)行安裝。其中，-i參數(shù)為安裝指令，-c參數(shù)為執(zhí)行配置文件的目，-s為啟動(dòng)Zabbix agent服務(wù)。最后，zabbix_agentd.exe還有更多的命令語(yǔ)法，建議通過(guò)-help參數(shù)進(jìn)行查看：7. 官方系統(tǒng)模板的擴(kuò)展7.1. W

20、indows計(jì)數(shù)器鍵值7.2. 監(jiān)控Linux&AIX&Windows用戶登錄7.2.1. 監(jiān)控Linux用戶登錄關(guān)于監(jiān)控Linux用戶登錄，是利用Zabbix自帶的日志監(jiān)控功能監(jiān)控Linux的/var/log/secure日志，當(dāng)有用戶登錄失敗或者用戶在非常規(guī)時(shí)間登錄成功時(shí)觸發(fā)告警。首先，使用Zabbix提供的鍵值logfile,來(lái)監(jiān)控Linux的/var/log/secure文件。先介紹下這個(gè)鍵值：該監(jiān)控項(xiàng)類型是Zabbix agent（active），返回?cái)?shù)據(jù)類型是Log。Zabbix agent需要對(duì)監(jiān)控的日志文件有可讀權(quán)限，否則會(huì)返回unsupported。參數(shù)介紹：- file：日

21、志文件的全路徑；- regexp：過(guò)濾日志的正則表達(dá)式；- encoding：字符編碼，默認(rèn)為英文單字節(jié)SBCS（Single-Byte Character Set）；- maxlines：agent 每秒發(fā)送給 server（或proxy）的數(shù)據(jù)的最大行數(shù)，這個(gè)參數(shù)會(huì)覆蓋掉zabbix_agentd.conf配置文件里的MaxLinesPerSecond參數(shù)；- mode：可選填參數(shù)，即all（默認(rèn)）或skip（跳過(guò)舊數(shù)據(jù)）；- output：自定義格式化輸出,。默認(rèn)輸出regexp匹配的整行數(shù)據(jù)。轉(zhuǎn)義字符0表示regexp匹配的數(shù)據(jù)，轉(zhuǎn)義字符N（N=1.9）表示regexp里第N個(gè)分組匹配

22、到的數(shù)據(jù)。 如果填其他字符串就會(huì)覆蓋掉regexp匹配的數(shù)據(jù)。其次，在Linux模版Template_OS_Linux_Chinese下增加登錄審核的監(jiān)控項(xiàng)：項(xiàng)目名稱：用戶登錄審核類型：Zabbix端點(diǎn)代理程式（主動(dòng)式）鍵值：log/var/log/secure,(Accepted|Failed) password,skip,數(shù)據(jù)類型：日志數(shù)據(jù)庫(kù)更新間隔（秒）：60歷史數(shù)據(jù)存儲(chǔ)日期：90應(yīng)用集：security注意：正則表達(dá)式為(Accepted|Failed) password，過(guò)濾/var/log/secure中的正確或失敗的用戶登錄請(qǐng)求（這里只過(guò)濾密碼驗(yàn)證方式的登錄）。創(chuàng)建登錄失敗的觸發(fā)

23、器：名稱：用戶登錄失敗在主機(jī)HOST.NAME表達(dá)式：Template_OS_Linux_Chinese:log/var/log/secure,(Accepted|Failed) password,skip,.str(Failed)=1 and Template_OS_Linux_Chinese:log/var/log/secure,(Accepted|Failed) password,skip,.nodata(60)=0嚴(yán)重性：警告該表達(dá)式含義為：如果用戶登錄失敗了，監(jiān)控項(xiàng)返回的數(shù)據(jù)中會(huì)包含F(xiàn)ailed，則觸發(fā)器被觸發(fā)。如果在60秒內(nèi)沒(méi)有接收新數(shù)據(jù)的話，則觸發(fā)器恢復(fù)，這樣就能保證觸發(fā)器不會(huì)一

24、直在觸發(fā)狀態(tài)。下面把表達(dá)式拆解分析:A：Template_OS_Linux_Chinese:log/var/log/secure,(Accepted|Failed) password,skip,.str(Failed)=1，表示如果字符串中包含F(xiàn)ailed則表達(dá)式為真；B：Template_OS_Linux_Chinese:log/var/log/secure,(Accepted|Failed) password,skip,.nodata(60)=0，表示如果60秒內(nèi)有接收數(shù)據(jù)則表達(dá)式為真，反之則表達(dá)式為假。邏輯為 A and B，表示同時(shí)符合 A 和 B 兩個(gè)條件（同時(shí)為真），觸發(fā)器才會(huì)觸發(fā)

25、。再次，創(chuàng)建登錄成功的觸發(fā)器：名稱：用戶于非工作時(shí)間登錄成功在主機(jī)HOST.NAME表達(dá)式：Template_OS_Linux_Chinese:log/var/log/secure,(Accepted|Failed) password,skip,.str(Accepted)=1 and Template_OS_Linux_Chinese:log/var/log/secure,(Accepted|Failed) password,skip,.nodata(60)=0 and (Template_OS_Linux_Chinese:log/var/log/secure,(Accepted|Faile

26、d) password,skip,.time(0)200000)嚴(yán)重性：警告該表達(dá)式的含義為：晚上 20 點(diǎn)到早上 8 點(diǎn)之間如果有用戶登錄成功了，且監(jiān)控項(xiàng)返回?cái)?shù)據(jù)中會(huì)包含Accepted，則觸發(fā)器被觸發(fā)，如果60秒內(nèi)沒(méi)有接收到新數(shù)據(jù)的話，則觸發(fā)器恢復(fù)。下面把表達(dá)式拆解分析：A：Template OS Linux:log/var/log/secure,(Accepted|Failed) password,skip,.str(Accepted)=1。表示如果字符串中包含Accepted則表達(dá)式為真；B: Template OS Linux:log/var/log/secure,(Accepted

27、|Failed) password,skip,.nodata(60)=0。表示如果 60 秒內(nèi)有接收到數(shù)據(jù)則表達(dá)式為真，反之則表達(dá)式為假。C：Template OS Linux:log/var/log/secure,(Accepted|Failed) password,skip,.time(0)200000。表示當(dāng)前時(shí)間大于晚上 8 點(diǎn)（20:00:00）則表達(dá)式為真。邏輯為 A and B and（C or D）。表示 A 和 B 要同時(shí)為真且 C 和 D 只要一個(gè)為真，則整個(gè)表達(dá)式為真，觸發(fā)器才會(huì)觸發(fā)。然后，因?yàn)楸O(jiān)控日志需要Agent為主動(dòng)模式，那么在Agent上需要額外配置ServerA

28、ctive參數(shù)。在配置文件zabbix_agentd.conf的ServerActive參數(shù)定義了Zabbix Server的地址和端口。同時(shí)，需要修改/var/log/secure被監(jiān)控文件的權(quán)限，/var/log/secure默認(rèn)權(quán)限為600，需要增加用戶zabbix的可讀權(quán)限，命令如下：shell setfacl -m u:zabbix:r- /var/log/secure最后，修改logrotate配置。shell sed -i /kill/a/usr/bin/setfacl -m u:zabbix:r- /var/log/secure /etc/logrotate.d/syslog7

29、.2.2. 監(jiān)控AIX用戶登錄由于在AIX系統(tǒng)上的局限性，用戶登錄審核日志位于/etc/securrity/failedlogin（登錄失?。┖?var/adm/wtmp（登錄成功）文件中，并且讀取這兩個(gè)文件得用who命令讀取，顯然Zabbix自帶的日志監(jiān)控?zé)o法滿足需求，只能通過(guò)UserParameter自定義key來(lái)獲取。首先，參照兩個(gè)文件的輸出內(nèi)容，可以看到登錄信息記錄均為單行，不會(huì)跨行，是以每行記錄一次用戶登錄行為，那么可以統(tǒng)計(jì)這個(gè)文件的行數(shù)來(lái)達(dá)到需求：其次，在確定了監(jiān)控思路的情況下，可以著手在Agent上自定義key：再次，由于AIX的權(quán)限控制比較嚴(yán)格，Agent上的Zabbix用戶無(wú)

30、法讀取這兩個(gè)系統(tǒng)文件，只能通過(guò)安裝sudo來(lái)完成讀取操作，并配置sudo，增加丟兩個(gè)文件的who命令執(zhí)行權(quán)限：從次，在Zabbix Server端增加監(jiān)控項(xiàng)，監(jiān)控項(xiàng)為在agent上定義好的自定義key：用戶登錄成功監(jiān)控項(xiàng)：名稱：用戶登錄成功信息類型：Zabbix代理鍵值：aix.acceptedlogin數(shù)據(jù)類型：數(shù)字的(無(wú)正負(fù))數(shù)據(jù)類型：十進(jìn)位數(shù)字?jǐn)?shù)據(jù)更新間隔(秒)：60應(yīng)用集：Security用戶登錄失敗監(jiān)控項(xiàng):名稱：用戶登錄失敗監(jiān)控項(xiàng)目類型：Zabbix代理鍵值：aix.failedlogin數(shù)據(jù)類型：數(shù)字的(無(wú)正負(fù))數(shù)據(jù)類型：十進(jìn)位數(shù)字?jǐn)?shù)據(jù)更新間隔(秒)：60應(yīng)用集：Security最

31、后，創(chuàng)建其觸發(fā)器：創(chuàng)建用戶登錄成功觸發(fā)器：名稱: 用戶于非工作時(shí)間登錄成功在主機(jī)HOST.NAME, 請(qǐng)登錄系統(tǒng)進(jìn)行檢查表達(dá)式: Template_OS_AIX_Chinese:aix.acceptedlogin.change(0)0 and Template_OS_AIX_Chinese:aix.acceptedlogin.nodata(60)=0 and (Template_OS_AIX_Chinese:aix.acceptedlogin.time(0)200000)嚴(yán)重性: 警告該表達(dá)式的含義為：在晚上 20 點(diǎn)到早上 8 點(diǎn)之間如果有用戶登錄成功了，且監(jiān)控項(xiàng)返回?cái)?shù)據(jù)acceptedlo

32、gin與上次采集的值發(fā)生變化，且在 60 秒內(nèi)有新數(shù)據(jù)產(chǎn)生的話，則觸發(fā)觸發(fā)器，反之觸發(fā)器恢復(fù)。基本思路和 Linux 登錄監(jiān)控觸發(fā)器思路相同。創(chuàng)建用戶登錄失敗觸發(fā)器：名稱：用戶登錄失敗在主機(jī)HOST.NAME, 請(qǐng)登錄系統(tǒng)進(jìn)行檢查表達(dá)式：Template_OS_AIX_Chinese:aix.failedlogin.change(0)0 and Template_OS_AIX_Chinese:aix.failedlogin.nodata(60)=0嚴(yán)重性：一般嚴(yán)重該表達(dá)式的含義為：如果監(jiān)控項(xiàng)返回?cái)?shù)據(jù)failedlogin與上次采集的值發(fā)現(xiàn)變化，且在 60 秒內(nèi)有新數(shù)據(jù)產(chǎn)生的話，則觸發(fā)觸發(fā)器，若

33、在 60 秒內(nèi)沒(méi)有新數(shù)據(jù)的話，觸發(fā)器恢復(fù)?；舅悸泛蚅inux登錄失敗觸發(fā)器思路相同。7.2.3. 監(jiān)控Windows用戶登錄關(guān)于Windows用戶的登錄日志，全部記錄在事件管理器中。根據(jù)事件管理器中的記錄，在Windows模版新建登錄成功和失敗監(jiān)控項(xiàng)：首先，參照在事件管理器中的用戶登錄成功審核記錄，創(chuàng)建對(duì)應(yīng)登錄成功的監(jiān)控項(xiàng):名稱：Windows Users Login Successful類型：Zabbix端點(diǎn)代理程式(主動(dòng)式)鍵值：eventlogSecurity,Success Audit,4624$,skip數(shù)據(jù)類型：日志數(shù)據(jù)更新間隔（秒）：30應(yīng)用集：Login該監(jiān)控項(xiàng)中，類型選擇Z

34、abbix agent(active)、數(shù)據(jù)類型選擇Log、監(jiān)控間隔60秒。其中，監(jiān)控項(xiàng)Key的參數(shù)用大括號(hào)包裹，用逗號(hào)分隔，下面解釋各項(xiàng)參數(shù)的含義：- Security：事件的日志名稱：- Success Audit：事件的Severity；- 4624$：這是一個(gè)正則表達(dá)式，匹配事件ID等于4624的日志；- skip：該含義是不監(jiān)控已產(chǎn)生的歷史日志，如果省略skip，會(huì)監(jiān)控所有符合以上條件的歷史日志信息。其次，參照在事件管理器中的用戶登錄失敗審核記錄，創(chuàng)建對(duì)應(yīng)登錄失敗的監(jiān)控項(xiàng):名稱：Windows Usesr Login Failure類型：Zabbix端點(diǎn)代理程式(主動(dòng)式)鍵值：eventlogSecurity,Failure Audit,4625$,skip數(shù)據(jù)類型：日志數(shù)據(jù)更新間隔(秒)：60應(yīng)用集：Login從次，創(chuàng)建登錄成功的觸發(fā)器:名稱:Windows Users Login Successful On HOST.NAME表達(dá)式:Template_OS_Windows_Chinese:eventlogSecurity,Success Audit,4624$,skip.nodata(60)=0 and Template_OS_Windows_Chinese:eventlogSecurity,Suc