本文主要向大家介绍了Windows运维之Zabbx监控报警windows用户登陆，通过具体的内容向大家展现，希望对大家学习Windows运维有所帮助。

一、目的目的：zabbix监控本地用户或者mstsc登陆windows服务器，避免密码泄露，恶意登陆，信息泄露现象，及时通报给系统管理员。注意：此文档不探讨zabbix分布式，调优，监控其它服务等问题。本实验做了一天多，比较耗时，走了点弯路，允许转载，请转载请指明链接：renzhiyuan.blog.51cto.com二、准备工作：2.1）zabbix服务安装配置（安装注意事项不探讨）2.2）配置邮件报警（微信，QQ，短信报警不探讨）2.3）修改报警模板（默认的报警配置视觉感比较差，不探讨）2.4）客户端安装配置zabbix_agent2.4.1)zabbix客户端配置"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.exe"
--config"D:\zabbix-3.0.5\bin\win64\zabbix_agentd.win.conf" #注册为系统服务：
2.4.2）配置zabbix_agent:zabbix_agentd.win.conf
LogFile=D:\zabbix-3.0.5\bin\win64\zabbix_agentd.log
Server=192.168.1.244         #-zabbix主机
# ListenPort=10050
# ListenIP=0.0.0.0
ListenIP=192.168.1.243       #-本机ip
#ServerActive=127.0.0.1
2.4.3）防火墙配置：firewall.cpl
#允许10050端口（默认端口）2.4.4）启动zabbix_agent2.5）了解windows安全日志：审核失败：如果有人恶意输错用户名密码访问。三、服务器配置：3.1）新增动作配置：3.2：创建监控项：3.2.1）账户登陆成功监控项：新建应用集：Event Log名称：账户登陆成功类型：zabbix客户端（主动式）键值：eventlog[Security,,"Success Audit",,^4624$,,skip]参数一 Security：事件的日志名称。    参数三 "Success Audit"：事件的severity。    参数五 ^4624$：这是一个正则表达式，匹配事件ID等于4624的日志。    参数七 skip：含义是不监控已产生的历史日志，如果省略skip，会监控出符合以上条件的历史日志信息。信息类型：日志监控间隔：60s历史保留时长7天3.2.2）账户登陆失败监控项：eventlog[Security,,"Failure Audit",,^6281$,,skip]3.3）创建触发器：3.3.1）登陆成功的触发器：{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].nodata(60)}=0 and
{Template Windows Event Log:eventlog[Security,,"Success Audit",,^4624$,,skip].str(Advapi)}=0表达式的含义为：如果在60秒内有监控到数据，并且监控内容不包含字符串"Advapi"则触发告警，如果60秒内没有新的数据了，则触发器恢复OK。简单点说就是，用户登录后触发器触发至少会持续60秒，如果用户不断的登录成功，间隔小于60秒，则触发器一直是problem状态。3.3.2)账户登陆失败触发器：{Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].nodata(60)}=0 and {Template Windows Event Log:eventlog[Security,,"Failure Audit",,^6281$,,skip].str(Advapi)}=0表达式的含义为：如果在60秒内有监控到数据，并且监控内容不包含字符串"Advapi"则触发告警。如果60秒后没有新的数据了，则触发器恢复OK。如果有人不断的恶意破解登录密码，你会发现触发器problem状态会一直存在。四、触发：mstsc或者登陆本机，查收邮件。

本文由职坐标整理并发布，希望对同学们有所帮助。了解更多详情请关注系统运维windows频道！