Zabbix Log

Versão avaliada: Debian + Docker CE + Zabbix 5.2

• Em vários momentos pensei em montar um SYSLOG, as alternativas seriam ELK ou Graylog.  Tanto o ELK ou  o Graylog são excelentes, porem, existe a restrição de licenciamento que restringe algumas features e/ou configurações.  Como o Zabbix realiza a guarda das informações de evolução dos hosts monitorados, então por que não guardar os logs?  Existe uma desvantagem nesse modelo, o aumento do armazenamento no banco de dados, portanto cabe o analise do que deseja monitorar e quanto tempo guardar.

WINDOWS EVENT

• Para configurar o Zabbix como Syslog para o windows utilizando o Zabbix Agent, siga os passos abaixo.

• Decomentar o parametro e ajustar com o IP do Zabbix Server no configurador no Zabbix Agent:

ServerActive=<IP_ZABBIX_SERVER>

• Reinicie o serviço do Zabbix Agent

Exemplos de Key Windows - Em avaliação

• O campo key pode ser aprimorado com filtros mais específicos

eventlog[name,<regexp>,<severity>,<source>,<eventid>,<maxlines>,<mode>]

# Application

eventlog[Application,,"Warning|Error|Critical|Information",,,,skip]

# Security

eventlog[Security,,"Warning|Error|Critical|Information",,^(?!.*129|141|1102|4648|4657|4688|4697|4698|4720|4738|4767|4728|4732|4634|4735|4740|4756).*$,,skip]

# System

eventlog[System,,"Warning|Error|Critical",,^(?!.*129|1022|1033|1034|4624|4625|4633|4719|4738|7000|7022|7024|7031|7034-7036|7040|7045).*$,,skip]

TRIGGER   Em desenvolvimento

Servidor Desligado 

{<Nome_server>:service.info["EventLog",state].last(#1074)}=1074

{<Nome_server>:eventlog[System,,"Warning|Error|Critical",,^(?!.*129|1022|1033|1034|4624|4625|4633|4719|4738|7000|7022|7024|7031|7034-7036|7040|7045).*$,,skip].last(#1074)}=1074

Referência

Link: 1 / 2 / 3