lunes, 4 de mayo de 2009

Visor de Sucesos de Windows con Zabbix

Para empezar a monitorizar el visor de sucesos de Windows guardaremos esta plantilla en formato xml y posteriormente la importaremos desde "Configuration-Import/Export".

http://www.zabbix.com/wiki/lib/exe/fetch.php?id=contrib%3Atemplates&cache=cache&media=contrib:zabbix_export.xml

Una vez importada la plantilla podremos observar que los tipos de items son activos con lo cual es el host quien envía la información y no Zabbix Server quien la pide. Esto significa que el nombre del host que publiquéis en zabbix "Configuration-Hosts-Name" y el hostname que escribas en el archivo de configuración del cliente "zabbix_agentd.conf" tienen que coincidir para que Zabbix sepa de qué host proviene la información.

Tener en cuenta que el hostname tiene que ser único y distingue mayúsculas de minúsculas.

Una vez empiece a funcionar los agentes de Windows empezaran a enviar todo el visor de sucesos al zabbix de manera secuencial. Esto lo comento porque empezareis a recibir alertas antiguas hasta que no se cargue todo el visor de sucesos. Es recomendable deshabilitar los triggers hasta que finalice el proceso.

Y ahora un poco de sintaxis para parametrizar los triggers y así se adapten a nuestras necesidades.

Esto deshabilitará la alerta del trigger si el visor de sucesos no nos envía mas alertas en los últimos 30 segundos.

({HOST:eventlog[Application].logseverity(4)}=4)&({HOST:eventlog[Application].nodata(30)}#1)

En este trigger le indicamos el origen del visor de sucesos

({HOST:eventlog[Application].logseverity(4) }=4)&({HOST:eventlog[Application].logsource(Origen)}=1)

En este trigger le indicamos un texto a buscar en el visor de sucesos.

({HOST:eventlog[Application].logseverity(4)}=4)&({HOST:eventlog[Application]. str(Texto a buscar)}=1)

Zabbix 1.6.2 SO: Ubuntu 8.10

10 comentarios:

  1. hola mi amigo que tal?
    Aquí estoy de nuevo mirando su Blog,

    He intentado mirar el visor de suceso de windows pero no he conseguido.

    He importado la plantilla correctamente y añadido al mi equipo server, pero... Están activado los monitores y los iniciadores (Triggers) y no me salem ningum información.

    Alguna otra dica?¿

    Un saludo Oriol
    Fabio

    ResponderEliminar
  2. Hola Fabio,

    Revisa que el nombre del host en zabbix "Configuration-Hosts-Name" y el "hostname" del archivo de configuración del cliente sean iguales "zabbix_agentd.conf".

    Ten en cuenta que distingue mayúsculas de minúsculas.

    Una abrazo,
    Oriol Serra

    ResponderEliminar
  3. Eso hice, están OK cuanto al hostname...
    Mira, en iniciadores me sale como desconocido.
    Application Log ERROR
    {orion:eventlog[Application].logseverity(4)}=4 DESCONOCIDO Alta Nunca Variación con valor anterior - Añadir

    ResponderEliminar
  4. Comprueba que tengas abierto la comunicacion entre el zabbix y el host cliente por el puerto 10051 que es el que usa los active checks.

    ResponderEliminar
  5. hostname del cliente (orion)
    hostname en Zabbix (orion)
    Template añadido (Template_Windows), hasta aqui consigo ver las informaciones que llegan desde mi server windows hacia zabbix...

    Pero cuando voy a Monitorización > Iniciadores | todo relacionado al "Windows Logging" me sale como desconocido.

    Una duda, en el fichero zabbix_agentd.conf hay una linea #DisableActive=1, ese tiene que estar comentado o puedo quitar el comentario?

    Un abrazo
    Fabio

    ResponderEliminar
  6. El #DisableActive=1 debe estar comentado para que te funcione los active checks.

    Cambia el valor del DebugLevel a 4 y enviame el archivo de logs a ver si sacamos algo en claro.

    ResponderEliminar
  7. Mi amigo,
    acabo de descubrir...

    El agente tiene que tener la misma versión del server.
    Yo estoy ejecutando la versión 1.4.5 en server y los agentes están como 1.6.2. Acabo de quitar 1.6 y instalar la versión 1.4.5, me funcionó de primera.

    Cualquier otra susto te comento
    Un fuerte abrazo
    Fabio

    ResponderEliminar
  8. Hola Orion, muy buenos días.
    Que tal esta?
    Mira,
    actualizé mi version de zabbix para 1.6.5, todo va bien pero cuando abro mi Vistazo General para ver el visor de sucesos, me mostra los caracteres "ó" de Sesión o Verificación como "?".
    Tu sabes como se arregla eso?

    Muchas gracias Oriol
    Un saludo
    Fabio

    ResponderEliminar
  9. Hola Fabio,

    Yo no he tenido problemas con la actualización.

    Envíame una captura de pantalla a ver si detecto alguna cosa extraña.

    Un saludo,
    Oriol Serra

    ResponderEliminar
  10. Hola buenas, utilizo zabbix 1.8.5 y al crear los iniciadores me muestra la casilla de error en rojo con el siguiente mensaje: trigger just added. No status update so far. Si pudierais ayudarme sobre este error os lo agradeceria mucho. Muchas gracias.

    ResponderEliminar