자빅스(Zabbix) 윈도우 서버 Eventlog 설정

자박스 윈도우 서버 이벤트로그 세팅

서버 점검을 위해선 윈도우 서버의 이벤트 로그를 확인 해야할 일이 종종 생기는대 그때마다 모든 서버에 접속해서 일일이 확인하는것도.. 상당히 피곤한 일입니다. Zabbix를 통해 서버에 접속하지 않고 서버 모니터링을 할 수 있는 방법을 알아봅시다. 오늘부터 서버 점검이 스마트해질시간입니다.

1. ZABBIX 템플릿에 추가하는 방법

   1. 설정 -> 템플릿 -> 템플릿 선택 'Windows by Zabbix agent active' 선택

   2. 템플릿 상단 '아이템' 선택

   3. 우측 상단 '아이템 작성' 선택

   4. 이미지와 같이 입력 후 '추가'

  * 이름 : 원하는 아이템 이름

  * 종류 : zabbix agent active

  * KEY : eventlog[Security,,,,skip] (아래 참고)

  * 갱신간격 : 알아서

   ※ KEY 구조 설명

eventlog[name,<regexp>,<severity>,<source>,<eventid>,<maxlines>,<mode>]

* KEY 변수 설명

name - 이벤트 로그의 이름.
regexp - 필요한 패턴을 설명하는 정규식 ( 대소문자 구분)
severity - 심각도를 설명하는 정규식입니다(대소문자 구분 안 함). 이 매개변수는 "정보", "경고", "오류", "위험", "자세한 정보"(Windows Vista 이상에서 실행) 값을 기반으로 하는 정규식을 허용합니다.
source - 소스 식별자를 설명하는 정규식(대소문자 구분 안 함)
eventid - 이벤트 식별자를 설명하는 정규식(대소문자 구분)
maxlines - 에이전트가 Zabbix 서버 또는 프록시로 보내는 초당 최대 새 라인 수입니다. 이 매개변수는 zabbix_agentd.conf 의 'MaxLinesPerSecond' 값을 재정의합니다 .

mode - 가능한 값: 모두 (기본값) 또는 건너뛰기 - 이전 데이터 처리를 건너뜁니다(새로 생성된 항목에만 영향을 줌).

* KEY 사용 주의사항

항목은 활성 수표 로 구성되어야 합니다 .

에이전트는 "전달된 이벤트" 로그에서 이벤트를 보낼 수 없습니다.

Windows Eventing 6.0이 지원됩니다.

이 항목에 대해 로그가 아닌 유형의 정보를 선택 하면 로컬 타임스탬프는 물론 로그 심각도 및 소스 정보도 손실됩니다.

로그 모니터링 에 대한 추가 정보도 참조하세요 .

* Examples:

    => eventlog[Application]

    => eventlog[Security,,"Failure Audit",,^(529|680)$]

    => eventlog[System,,"Warning|Error"]

    => eventlog[System,,,,^1$]

    => eventlog[System,,,,@TWOSHORT] - here a custom regular expression named