はじめに

やあ、シャアだよ。
ザビックス? くっそーザビ家め~。。こんな感じで余計なコメント満載なページですので急いでる方は見ないでね。

初心者な私でもZabbixでWindowsログ監視について検証したんですぅ。エージェントインストールしてマネージャーと会話させて、マネージャー上でイベント検知するところまでの記録です。

上司A:「おいおまえ!部のなかで一番スキルしょぼいからよぉ、おまえみたいな役立たずでもやれそうな検証作業与えてやるから、がんばれよ!」
あまちゃん:「はい...俺どんまい...」
それでは、俺のWindos2012にzabbixエージェントインストールしてイベントログ監視です。

前置き

 ・環境
 クラウド対応としてSoftLayer上のCentOSのマネージャーが存在していて、ゲストOSのWindows2012の最小スペックを追加しました。

 ・ManagerのAgentのバージョン
 たまたま検証用に設置していたのがzabbixサーバ2.2
まあ、それなんで私のSEとしての経験上エージェントもバージョンは合わせた方がいいという判断でzabbixエージェント2.2にしました。なんの経験だ?
 通常のWindows用エージェントをインストールするんですが、やはりデフォでは使えません。

 ・ダウンロードはここでしました
 http://www.zabbix.com/jp/download2.php
 安定版がおいてあるだとぉ?んじゃそれで!

本書の流れ

 エージェントのインストールはすぐ終わっちゃうんですぅ。検知までの設定の流れをまとめると、
どっかにダウンロードして > 必要なもんだけ専用フォルダに配置して > 設定ファイルをリネームしてシステムが参照できるようにして > 設定ファイルにサーバ情報と自分の情報を記述して > サービス起動するだけなんですぅ。

①zabbixエージェント初期構築

フォルダを作成
 ベースディレクトリになるフォルダを作ってください。めんどくさかったらzabiという名前でもいいですよ。ここでは「C:\zabbix_agent」」というフォルダをつくりました。アクセス権とかはadminでつくっているから気にしていないのさ。手抜きとかいうなよガルマ君。

君をダウンロードしたい
 Windows版をダウンロードしてください。http://www.zabbix.com/jp/download2.php
 ダウンロードしたアーカイブを解凍して出来たフォルダをに必要ファイルが格納されているのです。ファイルは全部使わないのが味噌よ。ドズル君。
「zabbix_agents_2.2.1.win\bin\win64」フォルダの中にある、3つしかないexeファイルを ⇒「C:\zabbix_agent」に配置。

設定ファイルの名前を変える
まあここはほら、OSSなわけだから、設定ファイルの名前を変えたりしないと動かないわけです。そんな手間があるからUNIX系は素敵だし、経験則としてのインフラSEの価値も上がるのだろうか。
zabbix_agentd.win.conf ⇒ zabbix_agentd.conf

そして僕は設定ファイルを編集する
 メモ帳で「zabbix_agentd.conf」を開くと分けわかんなくずらっと書いてあるんですね。だから秀丸とかサクラとかのエディタを使ってください。そんでもって以下のように追記と変更をしてください。すると草食系エージェントがアクティブ肉食系になるそうなんですよぉ。
 ちなみにLinuxでもこの作業は共通らしいです。

zabbix_agentd.conf
#LogFile=c:\zabbix_agentd.log
LogFile=c:\zabbix_agent\zabbix_agentd.log"ログの場所"

# HostMetadata=
HostMetadata=Windows

# Server=
Server=192.168.10.77"zabbixサーバのIP"

###Hostname=Windows host
Hostname=192.168.10.111"zabbixエージェントのIP"

# ServerActive=
ServerActive=192.168.10.77"zabbixサーバのIP"

あのねぇ、IPになってますが名前解決できていればホスト名で。

そんな君はサービスを起動する。
powershellとかコマンドプロンプトから以下のコマンドを実行してサービスを起動しましょう。

c:\zabbic_agent\zabbix_agentd.exe --config c:\zabbix_agent\agentd.conf --start

started successfully と表示され、成功が確認できましたね。

Windowsのfirewallを開放する
おっと、セキュアな私はfirewallを有効にしているので、inbound(受信)に解放設定が必要になりますよ。
Firewallの編集画面を開き、「Inbound Rules」「New Rule」の順で押下します。
必要な方はパクリ画像をおたのしみください♪

http://changineer.info/wp-content/uploads/2014/07/zbx_windows_firewall_001.png
http://changineer.info/wp-content/uploads/2014/07/zbx_windows_firewall_002.png
http://changineer.info/wp-content/uploads/2014/07/zbx_windows_firewall_003.png
http://changineer.info/wp-content/uploads/2014/07/zbx_windows_firewall_004.png

②既存マネージャーサーバで今回追加するAgentホストを登録

ここが他のサイトみていてもわからんくてね。ここ上司に褒めてもらいたかったが...

●まずマネージャーサーバーで管理画面を起動して、
設定>ホスト>ホストの追加の順に押下します。

zab_win_agent02.png

●ホスト名:[所属グループでIPアドレス]を入力。

zab_win_agent04.png

●設定>ホスト>テンプレート
※テンプレートとは、監視設定のセットの事を指します。
「新規テンプレートをリンク」欄に、”Windows”等の文字を入力します。すると、テンプレートの候補が表示されるので、適宜テンプレートを選びます。
今回は「Template OS Windows」ですね。

zab_win_agent05.png

●テンプレートを選び終わったら、追加してからの保存よろしく。

zab_win_agent06.png

●監視データ>最新データ
右上のプルダウンメニューで、グループ:[すべて]ホスト:[すべて]を選択して、下のほうのホスト欄に対象ホストが表示される事を確認します。
※図で表示されているホスト名は「Windows_test」というzabbix上に登録した私がつけた名前なんです。どうやって登録したんだか忘れました。必要性もわからない。たいしたことではないので記憶にございません。

zab_win_agent07.png

※ハイココ大事なポイントアルノコトヨー。
なかなかAgentがみつからない場合はメニューに表示されているヒストリの「最新データ」をクリックしてみてくださいね。

ヒストリ:トリガーのステータス » 障害対応コメント » ホストの設定 » ダッシュボード » 最新データ 

⇒ワタシココ結構ハマッタのコトアルヨ、チュゴクではこのオマジナイをスルノコトヨ。。
もしはまったら深呼吸と自分自身を見つめなおしてエージェント設定からやり直してくださいませ。

③監視設定

http://qiita.com/k7tak29/items/e6c685efdc97f757cd24
ここ参考にしました。参考にしたかもしれませんがパクってはないです。

アイテムの設定

●設定>テンプレート>任意のテンプレート(Template OS Windows)>アイテム>(プルダウンメニューから)アイテムの作成

以下のように設定したんですぅ。

名前:システムイベントログ ※任意
タイプ:ZABBIXエージェント(アクティブ)
キー:eventlog[system]
データ型:ログ

image

トリガーの設定

●アイテム作成後、表示されている「トリガー」リンクをたどって作成する。
設定>テンプレート>任意のテンプレート(Template OS Windows)>トリがー>(プルダウンメニューから)トリがーの作成

名前:eventlog[system]error
条件式:{ホスト名:eventlog[system].iregexp(文字列)}=判定
深刻度:重度の障害 ※任意

●ログ内の文字列を指定する場合
条件式は、
{%HOST%:eventlog[system].iregexp(文字列)}=判定

判定
1=文字列にマッチする
0=文字列にマッチしない

従って、検知したいので判定は0にします。....引っかかったぁ? 冗談です1です。ww
ここでの条件式は以下。

{192.168.0.77:eventlog[system].iregexp(Error)}=1

image

イベントログテスト

●サーバ側でエラーメッセージをだしてみよう。

>eventcreate /l system /t Error /so test /id 7777 /d test

image

●検知!君の動きはすべてお見通しさ。。
image

まとめ

こうして無事に検証を終えた私の、どうだ検証成功報告~~びびんなよ上司~。
って報告はスルーというか、「おせーんだよ。違うので提案しちゃったよ。」だってさ~~。「坊やだからさ・・・。」

それでは、さよならさよなら

🌟ちょっとでもあなたの仕事に役立つページであったなら、ここをクリックしてくれるとまた頑張れるんだ。