サイトアイコン IT NEWS

WindowsのイベントログをZabbixで監視する方法

この記事では、Zabbixを使用してWindowsイベントログ監視する方法を詳しく紹介します。
Zabbixは、最新のLTS(Long Term Support)バージョンを使用しています。
イベントログ監視には、特殊なアイテムキーを使用する必要があります。
また、Zabbix監視をテストするために、WindowsEVENTCREATEコマンドを使用する方法も解説します。

Windowsのイベントログ監視のメリット

Windowsイベントログは、システムやアプリケーションの動作や障害に関する情報を提供してくれます。
Zabbixイベントログ監視することで、以下のメリットがあります。

イベントログを監視するメリット
トラブルの早期発見と対応

イベントログの監視により、システムの異常や障害を早期に検知し、迅速な対応が可能となります。

セキュリティの向上

サイバーセキュリティ上の脅威や不正アクセスの検知に役立ちます。

システムの可用性向上

システムの稼働状況やパフォーマンスのボトルネックを把握し、システムの可用性を向上させることができます。

イベントログの種類と重要度

Windowsイベントログには、さまざまな種類があります。
それぞれの種類には異なる情報が含まれており、監視する目的に応じて適切なイベントログを選択することが重要です。
以下に、よく使用されるイベントログの種類とその重要度について説明します。

システム (System)

システムイベントログには、Windows OS自体の動作に関連するイベントが記録されます。
システムの起動やシャットダウン、デバイスの接続や切断、ドライバのエラーなどの情報が含まれています。
システムイベントログは、システムの動作状況やトラブルシューティングに重要な情報を提供します。

システムイベントログの重要度
エラー(Error)

システムの正常な動作に支障をきたすエラーイベント

警告(Warning)

問題が発生する可能性がある警告イベント

情報(Information)

システムの動作情報やイベントの詳細など

アプリケーション (Application)

アプリケーションイベントログには、アプリケーションソフトウェアの動作に関連するイベントが記録されます。
アプリケーションのエラーや警告、情報メッセージなどが含まれています。
アプリケーションイベントログは、特定のアプリケーションのトラブルシューティングや動作監視に役立ちます。

システムイベントログの重要度
エラー(Error)

アプリケーションの正常な動作に支障をきたすエラーイベント

警告(Warning)

問題が発生する可能性がある警告イベント

情報(Information)

アプリケーションの動作情報やイベントの詳細など

その他、セキュリティイベントログなどもありますが、ここでは割愛させていただきます。

これらのイベントログの種類と重要度に基づいて、Zabbixでの監視対象を選択することで、特定の問題を素早く検知することができます。

ただ、Windowsのイベントログの中でも「情報」や「警告」は、常に大量のログを出力しているため、必要がなければ取得しないようにしましょう。

以上が、Windowsイベントログの種類と重要度の詳細な説明です。
監視の対象となるイベントログを正しく選択することで、システムの問題に迅速に対処することができます。

ZabbixでWindowsのイベントログを監視する手順

それでは、ZabbixWindowsイベントログ監視する手順を解説します。
まず、上記を参考に監視したいWindowsイベントログを選んでおいてください。

Zabbixサーバーにアイテムを作成する

出典:zerizeriのエンジニア技術ブログ

ZabbixのWebインターフェースにログインし、監視対象のホストの設定画面に移動します。
次に、アイテムの作成を行います。以下の手順で進めます。

STEP
アイテムの作成

ZabbixのWebインターフェースで、アイテムの作成画面に移動します。
アイテム名や監視対象のイベントログのパラメータなどを指定します。

STEP
キーの設定

アイテムキーには、Windowsのイベントログ監視に使用する特殊なキーを設定します。
このキーは、ZabbixエージェントがWindowsの場合にのみ使用できます。

設定項目設定値説明・注意点
名前<Windowsシステムログ>(任意の名前)
タイプZabbixエージェント(アクティブ)ログ系は必ずアクティブ
キーeventlog[name,<regexp>,<severity>,<source>,<eventid>,<maxlines>,<mode>]オプションが不要な場合は省略可
データ型ログ整数値で回数を返す
監視間隔<1m>(任意の間隔。トリガーも考慮する)
Windowsイベントログ監視のアイテム設定

詳しくは、Zabbix公式サイトのWindows固有のアイテムキーをご確認ください。

システムログ監視も参考になります。

トリガーを設定する

出典:zerizeriのエンジニア技術ブログ

アイテムが正常に動作しているかどうかを監視するために、トリガーを設定します。
トリガーは、アイテムの値が特定の条件を満たした場合にアラートを発生させる役割を持ちます。
トリガー設定の要点だけまとめました。

設定項目設定値説明・注意点
名前<Windowsシステムログ>(任意の名前)
深刻度<軽度の障害>(任意の深刻度)
条件式logeventid(/host/key,<#num<:time shift>>,<pattern>)オプションが不要な場合は省略可
障害イベント生成モード複数単一にすると異なるログが出力された際に勝手に復旧してしまう
手動クローズを許可チェックするログは自動普及しないので必ずチェック
Windowsイベントログ監視トリガー設定

Windowsイベントログに使えるトリガー関数は他にもあります。
以下は、それぞれイベントビューアーで見れる各項目に対応した関数です。

サポートされている関数
logeventid

「イベントID」で抽出

logseverity

「レベル(情報、警告、エラーなど)」で抽出

logsource

「ソース」で抽出

出典:そるでぶろぐ

詳しくは、Zabbix公式サイトのヒストリ関数をご確認ください。

EVENTCREATEコマンドでの監視テスト

設定したアイテムトリガーが正しく動作するかどうかを確認するために、監視テストを行います。WindowsコマンドプロンプトからEVENTCREATEコマンドを使用して、テスト用のイベントを作成し、Zabbixがそれを検知するかどうかを確認します。

テスト用の監視設定

Windowsイベントログ監視テストするめに、テスト用のアイテムを作成します。
もう一度、アイテムキーをおさらいしておきます。

eventlog[name,<regexp>,<severity>,<source>,<eventid>,<maxlines>,<mode>]

例えば、アプリケーションイベントログのイベントID 1000のイベント監視する場合のアイテムキーを作成すると以下のようになります。

eventlog[Application,,Information,,1000]

次の章で、このアイテムキーで取得できるイベントログを作成します。

監視のテスト

Zabbix監視テストするために、WindowsEVENTCREATEコマンドを使用してテスト用のイベントを作成します。
以下の手順で進めます。

まずはコマンドプロンプトを開きます。
EVENTCREATE コマンドを使用して、以下のコマンドを実行します。

EVENTCREATE /T INFORMATION /ID 1000 /L APPLICATION /D "Test Zabbix"

このコマンドは、APPLICATIONログにイベントID 1000のテストイベントを作成します。
あとは、Zabbixテストイベントを検知し、アイテムの値が変化したことを確認してください。

以上がWindowsイベントログZabbix監視する方法です。
Zabbixを使って監視を行うことで、システムの安定性を向上させることができます。
ぜひ、この方法を試してみてください。

モバイルバージョンを終了