Zabbix 监控Windows操作系统暴力破解事件,并实现告警

最新推荐文章于 2024-06-02 23:12:27 发布
最新推荐文章于 2024-06-02 23:12:27 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: Windows Server 文章标签: zabbix 运维
原文链接:https://blog.51cto.com/renzhiyuan/1892355
版权

Zabbix 监控Windows操作系统暴力破解事件,并实现告警

背景描述:
一小公司自托管十来台硬件服务器(16G内存、32G内存等弱配置的服务器),服务器通过交换机联通网络,除此之外没有任何安全设备!没有防火墙、没有堡垒机。仅通过一台软路由做外网端口映射。运维人员通过映射后的远程端口远程服务器进行运维!
问题描述:
这种情况下极易造成服务器被暴力破解,通过事件查看器-安全可以看到大量的暴力破解登陆失败信息!
在这里插入图片描述
如此频繁暴力破解,第一会不停消耗服务器资源,第二万一真被暴力破解了那就玩完了!
今天要做的事情就是将暴力破解的日志进行监控起来,在第一时间能知道服务器是否被暴力破解登录!监控服务使用zabbix 5.0

操作步骤如下(不讨论zabbix server安装与配置):
①、新建监控模版
在这里插入图片描述

②、新建应用集
在这里插入图片描述

③、新建监控项
在这里插入图片描述
3.1 登陆成功的日志
键值:eventlog[Security,“Success Audit”,^4624KaTeX parse error: Expected 'EOF', got '#' at position 208: …lor_FFFFFF,t_70#̲pic_center) 3.2…,skip]`
在这里插入图片描述

④、配置登陆失败日志触发器

name: Windows Login Failed on {HOST.NAME}
表达式:
{Monitoring windows login log:eventlog[Security,“FailureAudit”,^4625KaTeX parse error: Expected 'EOF', got '}' at position 19: …kip].nodata(60)}̲=0 and {Monitor…,skip].str(Advapi)}=0

在这里插入图片描述

⑤、最后模版如下:

<?xml version="1.0" encoding="UTF-8"?>
<zabbix_export>
    <version>5.0</version>
    <date>2020-11-23T07:12:09Z</date>
    <groups>
        <group>
            <name>Templates/Operating systems</name>
        </group>
    </groups>
    <templates>
        <template>
            <template>Monitoring windows login log</template>
            <name>Monitoring windows login log</name>
            <groups>
                <group>
                    <name>Templates/Operating systems</name>
                </group>
            </groups>
            <applications>
                <application>
                    <name>Monitoring_windows_login_log</name>
                </application>
            </applications>
            <items>
                <item>
                    <name>Windows Login Failed</name>
                    <type>ZABBIX_ACTIVE</type>
                    <key>eventlog[Security,,&quot;Failure&quot;Audit&quot;,,^4625$,,skip]</key>
                    <trends>0</trends>
                    <value_type>LOG</value_type>
                    <description>Windows 登陆失败日志记录</description>
                    <applications>
                        <application>
                            <name>Monitoring_windows_login_log</name>
                        </application>
                    </applications>
                    <triggers>
                        <trigger>
                            <expression>{nodata(60)}=0 and {str(Advapi)}=0</expression>
                            <name>Windows Login Failed on {HOST.NAME}</name>
                            <priority>HIGH</priority>
                            <description>账号登陆失败</description>
                        </trigger>
                    </triggers>
                </item>
                <item>
                    <name>Windows Login Success</name>
                    <type>ZABBIX_ACTIVE</type>
                    <key>eventlog[Security,,&quot;Success Audit&quot;,,^4624$,,skip]</key>
                    <trends>0</trends>
                    <value_type>LOG</value_type>
                    <description>记录登陆windows 成功的日志记录</description>
                    <applications>
                        <application>
                            <name>Monitoring_windows_login_log</name>
                        </application>
                    </applications>
                    <triggers>
                        <trigger>
                            <expression>{nodata(60)}=0 and {str(Advapi)}=0</expression>
                            <name>Windows Login Sucess on {HOST.NAME}</name>
                            <priority>HIGH</priority>
                            <description>如果登陆成功即触发</description>
                        </trigger>
                    </triggers>
                </item>
            </items>
        </template>
    </templates>
</zabbix_export>

钉钉告警如下:
在这里插入图片描述

参考网站一:https://blog.51cto.com/renzhiyuan/1892355
参考网站二:https://cloud.tencent.com/developer/article/1544672

石头-豆豆
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
搭建zabbix监控Windows、Linux系统、网络设备报错解决方案
Friendsofthewind的博客
06-04 1123
为何要了解监控架构 例如:我们八人组成团队叫“鬼八仙”;要和人家打群架,人家十三人组成团队叫“十三太保”,由名字得知,我们是干不过人家的,即便干过人家,我们的损失绝对大过人家。 因此,根据不同的网络环境、监控规模等综合因素,选择适合的监控架构。 直接连接架构又叫server-client架构,适用于网络环境简单、监控规模少的场合,打个比方,好比“绝代双骄”,只有两个人。 proxy架构,适用于中型网络的监控。 Node架构,翻译中文节点,每个node有自己的配置文件和数据库,当主服务器发生故障,节点仍可.
zabbix监控JAVA 进程 JVM数据统计分析告警监控
03-26
zabbix自动发现JAVA进程,并进行自动添加监控JAVA 进程的JVM数据,统计分析告警监控。 支持多种中间件,tomcat、weblogic、微服务方式部署JAVA应用监控。 自带发现脚本和监控脚本,以及zabbix导入模板。
配置Zabbix自定义监控、自动发现与注册及代理与Windows监控
最新发布
hy199707的博客
06-02 973
Zabbix是一个开源的企业级分布式监控解决方案,能够监控各种网络参数,保证服务器系统的安全运营,并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。本文将详细介绍Zabbix的自定义监控、自动发现和注册以及代理设置的过程和技巧。
Zabbix 监控系统:监控Windows
十七拾的博客
04-24 945
本文主要介绍zabbix如何监控Windows客户端机器,希望对你有帮助!
Zabbix监控报警windows用户登陆
weixin_33752045的博客
01-16 695
一、目的目的:zabbix监控本地用户或者mstsc登陆windows服务器,避免密码泄露,恶意登陆,信息泄露现象,及时通报给系统管理员。注意:此文档不探讨zabbix分布式,调优,监控其它服务等问题。本实验有些耗时,走了点弯路,允许转载,请转载请指明链接:renzhiyuan.blog.51cto.com二、准备工作:2.1)zabbix服务安装配置(安装注意事项不探讨)2.2)配置邮件报警(微...
zabbix之Web网络监控
weixin_33694620的博客
09-10 363
一、web监控概述       在这一节,我们会介绍如何使用zabbix进行URL监控,即专门针对URL监控,比如php应用,只要我们能curl到这个ok.php,就认为这个服务是正常的,zabbix的Web monitoring也具有类似的功能。    如果需要使用这个功能,需要编译的时候加入libcurl的支持。    在开始之前,先介绍zabbix的一个概念——“Web scenarios”...
Zabbix监控之web监控
weixin_34032621的博客
11-12 166
1.Zabbix监控web服务器访问性能 zabbix对web性能的监控,通过它可以了解web站点的可用性以及性能。最终将各项指标绘制到图形中,这样我们可以了解到一个站点的下载速度、响应速度等。需要注意的是在安装zabbix server需要增加libcurl的支持。 web检测数据搜集说明:web整个检测中会收集如下...
ZABBIX:配置服务器登录用户数告警
weixin_44352521的博客
08-21 973
zabbix 设置用户登录数告警
Linux zabbix自定义监控及报警实现过程解析
01-09
在IT监控领域,Zabbix是一款广泛应用的开源网络监控和性能管理系统,它能够实时监控各种网络参数以及服务器健康状况。在本文中,我们将深入探讨如何在Linux环境中利用Zabbix自定义监控磁盘I/O的tps(Transactions ...
zabbix监控环境-安装+基本配置+微信告警
05-20
zabbix([`zæbiks])是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。 zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决...
python3实现zabbix告警推送钉钉的示例
09-19
在IT监控领域,Zabbix是一款广泛应用的开源网络监控系统,能够实时监测服务器、网络设备以及应用程序的状态。...同时,对于多平台的监控系统,这种集成方式能够帮助IT团队更有效地管理和响应各种告警事件
zabbix告警收敛
11-01
在IT运维领域,Zabbix是一款广泛应用的开源监控系统,它能够实时监控各种网络参数以及服务器健康状况。然而,在复杂的IT环境中,系统可能会因为各种原因,如网络波动、硬件故障等,产生大量的同类告警,这被称为“告...
震惊——某白帽破解zabbix系统,实现命令执行,最终获取shell
自强不息
05-19 1790
如果你坚持了自己的梦想,全世界都会为你让路。
Zabbix 5.0 监测Windows远程桌面登录
哈哈虎的博客
08-09 2187
确认 Windows 事件 windows 系列事件ID都是一样的! ID = 4624 登录成功 ID = 4625 登录失败 仔细查看了一些日志,有些人推荐的过滤 Advapi LogonProcessName Advapi LogonProcessName NtLmSsp 干脆我先不过滤 最好先在耽搁主机上测试正确,之后再统一创建一个模版 配置 — 模版 – 创建模版 选中创建的模版,创建应用集 创建监控项 ...
zabbix配置并监控linux和windows
weixin_51615799的博客
08-21 632
zabbix配置 监控linux 、windows
使用zabbix监控Windows指定服务| zabbix Windows service filter
瑞哥的博客
05-05 1877
环境:Centos + Zabbix6问题:使用自带的windows服务监控带出了所有的服务,只想监控特定的服务解决办法:使用正则表达式过滤背景:在Zabbix6中,使用自带的windows服务监控带出了所有的服务,只想监控特定的服务,比如数据库,杀毒软件解决过程:使用过滤器。
Zabbix监控集群操作用户“登录失败次数“和“失败日志记录“
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
12-29 3883
近期,快要邻近春节,安全方面更加重要。 首先要对操作系统的用户做安全监控,防止操作系统账号被爆破泄露,我们也要监控起来。 (1)Zabbix记录每分钟日志登录失败的次数 (2)Zabbix记录登录失败用户的信息,方便查看 首先,我们整个集群日志,通过rsyslog服务,把上千台的日志同步到一台上,所以我们只需要监控这个rsyslog的服务端就可以了。 看效果图(这样一来,十分方便查看记录) (1)登录失败次数 日志格式 2021-12-29T15:04:16...
一文带你快速入门zabbix6.0的日常操作
低调,谦虚,自律,反思,成长,保持热爱,奔赴梦想
02-23 2216
一文带你入门zabbix6.0的日常操作
Centos环境下搭建zabbix(5.0最新版)监控系统
热门推荐
大鹅的博客
07-20 1万+
Zabbix 是一个基于 WEB 界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix 能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题 zabbix的优点: 开源,无软件成本投入 Server 对设备性能要求低 支持设备多,自带多种监控模板 支持分布式集中管理,有自动发现功能,可以实现自动化监控 开放式接口,扩展性强,插件编写容易 当监控的 item 比较多服务器队列比较大时可以采用被动状态,被监控客户
zabbix监控告警
12-22
Zabbix是一款功能强大的监控系统,可以监控网络参数和服务器的健康度、完整性,并提供灵活的告警机制。下面是Zabbix监控告警的一般步骤: 1. 配置监控项:在Zabbix中,你可以配置各种监控项来监控服务器的各种参数,例如CPU使用率、内存使用率、磁盘空间等。 2. 创建触发器:通过设置触发器,你可以定义当监控项的值达到或超过某个阈值时触发告警。例如,当CPU使用率超过80%时触发告警。 3. 配置告警动作:在Zabbix中,你可以配置各种告警动作,例如发送邮件、发送短信、执行脚本等。当触发器触发告警时,Zabbix会执行相应的告警动作。 4. 配置告警媒介类型:Zabbix支持多种告警媒介类型,例如邮件、短信、Jabber等。你可以根据需要配置相应的告警媒介类型。 5. 配置告警通知:在Zabbix中,你可以配置告警通知,指定哪些用户或用户组应该接收告警通知。你可以根据需要配置不同的告警通知。 6. 查看报表和数据可视化:Zabbix基于存储的数据提供出色的报表和数据可视化功能,你可以通过查看报表和数据可视化来了解服务器的健康状况和性能趋势。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值