この記事では、Zabbixを使用してWindowsのイベントログを監視する方法を詳しく紹介します。
Zabbixは、最新のLTS(Long Term Support)バージョンを使用しています。
イベントログの監視には、特殊なアイテムキーを使用する必要があります。
また、Zabbixの監視をテストするために、WindowsのEVENTCREATE
コマンドを使用する方法も解説します。
Windowsのイベントログ監視のメリット
Windowsのイベントログは、システムやアプリケーションの動作や障害に関する情報を提供してくれます。
Zabbixでイベントログを監視することで、以下のメリットがあります。
- トラブルの早期発見と対応
-
イベントログの監視により、システムの異常や障害を早期に検知し、迅速な対応が可能となります。
- セキュリティの向上
-
サイバーセキュリティ上の脅威や不正アクセスの検知に役立ちます。
- システムの可用性向上
-
システムの稼働状況やパフォーマンスのボトルネックを把握し、システムの可用性を向上させることができます。
イベントログの種類と重要度
Windowsのイベントログには、さまざまな種類があります。
それぞれの種類には異なる情報が含まれており、監視する目的に応じて適切なイベントログを選択することが重要です。
以下に、よく使用されるイベントログの種類とその重要度について説明します。
システム (System)
システムイベントログには、Windows OS自体の動作に関連するイベントが記録されます。
システムの起動やシャットダウン、デバイスの接続や切断、ドライバのエラーなどの情報が含まれています。
システムイベントログは、システムの動作状況やトラブルシューティングに重要な情報を提供します。
- エラー(Error)
-
システムの正常な動作に支障をきたすエラーイベント
- 警告(Warning)
-
問題が発生する可能性がある警告イベント
- 情報(Information)
-
システムの動作情報やイベントの詳細など
アプリケーション (Application)
アプリケーションイベントログには、アプリケーションソフトウェアの動作に関連するイベントが記録されます。
アプリケーションのエラーや警告、情報メッセージなどが含まれています。
アプリケーションイベントログは、特定のアプリケーションのトラブルシューティングや動作監視に役立ちます。
- エラー(Error)
-
アプリケーションの正常な動作に支障をきたすエラーイベント
- 警告(Warning)
-
問題が発生する可能性がある警告イベント
- 情報(Information)
-
アプリケーションの動作情報やイベントの詳細など
その他、セキュリティイベントログなどもありますが、ここでは割愛させていただきます。
これらのイベントログの種類と重要度に基づいて、Zabbixでの監視対象を選択することで、特定の問題を素早く検知することができます。
以上が、Windowsのイベントログの種類と重要度の詳細な説明です。
監視の対象となるイベントログを正しく選択することで、システムの問題に迅速に対処することができます。
ZabbixでWindowsのイベントログを監視する手順
それでは、ZabbixでWindowsのイベントログを監視する手順を解説します。
まず、上記を参考に監視したいWindowsのイベントログを選んでおいてください。
Zabbixサーバーにアイテムを作成する
ZabbixのWebインターフェースにログインし、監視対象のホストの設定画面に移動します。
次に、アイテムの作成を行います。以下の手順で進めます。
ZabbixのWebインターフェースで、アイテムの作成画面に移動します。
アイテム名や監視対象のイベントログのパラメータなどを指定します。
アイテムキーには、Windowsのイベントログ監視に使用する特殊なキーを設定します。
このキーは、ZabbixエージェントがWindowsの場合にのみ使用できます。
設定項目 | 設定値 | 説明・注意点 |
---|---|---|
名前 | <Windowsシステムログ> | (任意の名前) |
タイプ | Zabbixエージェント(アクティブ) | ログ系は必ずアクティブ |
キー | eventlog[name,<regexp>,<severity>,<source>,<eventid>,<maxlines>,<mode>] | オプションが不要な場合は省略可 |
データ型 | ログ | 整数値で回数を返す |
監視間隔 | <1m> | (任意の間隔。トリガーも考慮する) |
詳しくは、Zabbix公式サイトのWindows固有のアイテムキーをご確認ください。
システムログ監視も参考になります。
トリガーを設定する
アイテムが正常に動作しているかどうかを監視するために、トリガーを設定します。
トリガーは、アイテムの値が特定の条件を満たした場合にアラートを発生させる役割を持ちます。
トリガー設定の要点だけまとめました。
設定項目 | 設定値 | 説明・注意点 |
---|---|---|
名前 | <Windowsシステムログ> | (任意の名前) |
深刻度 | <軽度の障害> | (任意の深刻度) |
条件式 | logeventid(/host/key,<#num<:time shift>>,<pattern>) | オプションが不要な場合は省略可 |
障害イベント生成モード | 複数 | 単一にすると異なるログが出力された際に勝手に復旧してしまう |
手動クローズを許可 | チェックする | ログは自動普及しないので必ずチェック |
Windowsイベントログに使えるトリガー関数は他にもあります。
以下は、それぞれイベントビューアーで見れる各項目に対応した関数です。
- logeventid
-
「イベントID」で抽出
- logseverity
-
「レベル(情報、警告、エラーなど)」で抽出
- logsource
-
「ソース」で抽出
詳しくは、Zabbix公式サイトのヒストリ関数をご確認ください。
EVENTCREATEコマンドでの監視テスト
設定したアイテムとトリガーが正しく動作するかどうかを確認するために、監視のテストを行います。WindowsのコマンドプロンプトからEVENTCREATE
コマンドを使用して、テスト用のイベントを作成し、Zabbixがそれを検知するかどうかを確認します。
テスト用の監視設定
Windowsのイベントログ監視をテストするめに、テスト用のアイテムを作成します。
もう一度、アイテムキーをおさらいしておきます。
eventlog[name,<regexp>,<severity>,<source>,<eventid>,<maxlines>,<mode>]
例えば、アプリケーションイベントログのイベントID 1000のイベントを監視する場合のアイテムキーを作成すると以下のようになります。
eventlog[Application,,Information,,1000]
次の章で、このアイテムキーで取得できるイベントログを作成します。
監視のテスト
Zabbixの監視をテストするために、WindowsのEVENTCREATE
コマンドを使用してテスト用のイベントを作成します。
以下の手順で進めます。
まずはコマンドプロンプトを開きます。EVENTCREATE
コマンドを使用して、以下のコマンドを実行します。
EVENTCREATE /T INFORMATION /ID 1000 /L APPLICATION /D "Test Zabbix"
このコマンドは、APPLICATIONログにイベントID 1000のテストイベントを作成します。
あとは、Zabbixがテストのイベントを検知し、アイテムの値が変化したことを確認してください。
以上がWindowsのイベントログをZabbixで監視する方法です。
Zabbixを使って監視を行うことで、システムの安定性を向上させることができます。
ぜひ、この方法を試してみてください。
- Original:https://minory.org/zabbix-windows-eventlog.html
- Source:Minory
- Author:管理者