Monitorizando el visor de eventos

Monitorizar el visor de eventos de maquinas windows, por seguridad, siempre conviene tener una copia de los logs de las maquinas en otras para evitar perder la información en caso de usos de winzapper, por ejemplo. Asi que, te puedes llevar todas esas entradas a una base de datos para tratarlas luego.

Se puede usar el agente zabbix para hacerlo, ojo que genera mucho trafico.
Se configuran dos cosas:
Agente en el servidor (zabbix.conf)
Poner el agente en activo (Disable active comentado).
Añades el tipo del visor de eventos que te quieres traer.
eventlog[system] system, application o security

Reinicias el servcio zabbix.

En la consola, vas al host en cuestion y añades el item:
visor de eventos zabbix

Con eso te traes toda la información. Ahora puedes definir los triggers que necesites (aunque da poco juego, la verdad).

One Comment

  • Ojo
    Ojo que… la versión del agente y del servidor tienen que ser la misma, aqui hay un repositorio con un monton de versiones.
    Ojo con el nombre del host (distingue entre mayusculas y minusculas).