Zabbix 监控Windows操作系统暴力破解事件,并实现告警
背景描述:
一小公司自托管十来台硬件服务器(16G内存、32G内存等弱配置的服务器),服务器通过交换机联通网络,除此之外没有任何安全设备!没有防火墙、没有堡垒机。仅通过一台软路由做外网端口映射。运维人员通过映射后的远程端口远程服务器进行运维!
问题描述:
这种情况下极易造成服务器被暴力破解,通过事件查看器-安全可以看到大量的暴力破解登陆失败信息!
如此频繁暴力破解,第一会不停消耗服务器资源,第二万一真被暴力破解了那就玩完了!
今天要做的事情就是将暴力破解的日志进行监控起来,在第一时间能知道服务器是否被暴力破解登录!监控服务使用zabbix 5.0
操作步骤如下(不讨论zabbix server安装与配置):
①、新建监控模版
②、新建应用集
③、新建监控项
3.1 登陆成功的日志
键值:eventlog[Security,“Success Audit”,^4624KaTeX parse error: Expected 'EOF', got '#' at position 208: …lor_FFFFFF,t_70#̲pic_center) 3.2…,skip]`
④、配置登陆失败日志触发器
name: Windows Login Failed on {HOST.NAME}
表达式:
{Monitoring windows login log:eventlog[Security,“FailureAudit”,^4625KaTeX parse error: Expected 'EOF', got '}' at position 19: …kip].nodata(60)}̲=0 and {Monitor…,skip].str(Advapi)}=0
⑤、最后模版如下:
<?xml version="1.0" encoding="UTF-8"?>
<zabbix_export>
<version>5.0</version>
<date>2020-11-23T07:12:09Z</date>
<groups>
<group>
<name>Templates/Operating systems</name>
</group>
</groups>
<templates>
<template>
<template>Monitoring windows login log</template>
<name>Monitoring windows login log</name>
<groups>
<group>
<name>Templates/Operating systems</name>
</group>
</groups>
<applications>
<application>
<name>Monitoring_windows_login_log</name>
</application>
</applications>
<items>
<item>
<name>Windows Login Failed</name>
<type>ZABBIX_ACTIVE</type>
<key>eventlog[Security,,"Failure"Audit",,^4625$,,skip]</key>
<trends>0</trends>
<value_type>LOG</value_type>
<description>Windows 登陆失败日志记录</description>
<applications>
<application>
<name>Monitoring_windows_login_log</name>
</application>
</applications>
<triggers>
<trigger>
<expression>{nodata(60)}=0 and {str(Advapi)}=0</expression>
<name>Windows Login Failed on {HOST.NAME}</name>
<priority>HIGH</priority>
<description>账号登陆失败</description>
</trigger>
</triggers>
</item>
<item>
<name>Windows Login Success</name>
<type>ZABBIX_ACTIVE</type>
<key>eventlog[Security,,"Success Audit",,^4624$,,skip]</key>
<trends>0</trends>
<value_type>LOG</value_type>
<description>记录登陆windows 成功的日志记录</description>
<applications>
<application>
<name>Monitoring_windows_login_log</name>
</application>
</applications>
<triggers>
<trigger>
<expression>{nodata(60)}=0 and {str(Advapi)}=0</expression>
<name>Windows Login Sucess on {HOST.NAME}</name>
<priority>HIGH</priority>
<description>如果登陆成功即触发</description>
</trigger>
</triggers>
</item>
</items>
</template>
</templates>
</zabbix_export>
钉钉告警如下:
参考网站一:https://blog.51cto.com/renzhiyuan/1892355
参考网站二:https://cloud.tencent.com/developer/article/1544672