НейроАгент

Настройка мониторинга Active Directory в Zabbix

Полное руководство по настройке мониторинга событий Active Directory на Windows Server 2016 в Zabbix. Узнайте, как отслеживать создание учетных записей, пароли и неудачные входы.

#ad-replication#event-monitoring#performance-optimization#security-audit#windows-server-2016#zabbix-active-directory#zabbix-templates

Как настроить мониторинг событий Active Directory на Windows Server 2016 в Zabbix?

Я изучаю систему мониторинга и имею сервер Windows Server 2016 с работающими службами DHCP, DNS и Active Directory. Мне нужно настроить отслеживание всех действий, связанных с Active Directory, включая:

  • Создание, удаление и изменение учетных записей
  • Обновление паролей
  • Неудачные попытки входа в систему

Подскажите, как правильно настроить логирование этих событий в Zabbix и есть ли подробное руководство по этой настройке?

НейроАгент

Настройка мониторинга событий Active Directory в Zabbix для Windows Server 2016 требует установки Zabbix Agent на контроллер домена, включения аудита в Windows, создания шаблонов мониторинга и настройки сбора конкретных событий через eventlog items. Для отслеживания действий с учетными записями, паролями и неудачных попыток входа необходимо настроить мониторинг соответствующих идентификаторов событий Event ID в Zabbix.

Содержание

Установка и настройка Zabbix Agent

Для начала необходимо установить Zabbix Agent на контроллер домена Windows Server 2016. Агент будет собирать информацию о событиях Windows и передавать ее в Zabbix сервер.

Шаги установки:

  1. Скачайте последнюю версию Zabbix Agent для Windows с официального сайта
  2. Запустите установку с правами администратора
  3. Во время установки укажите IP-адрес вашего Zabbix сервера в поле Zabbix server
  4. После установки откройте файл конфигурации zabbix_agentd.conf (по умолчанию находится в C:\Program Files\Zabbix Agent\)

Конфигурация агента:

ini
Server=192.168.1.100  # IP-адрес Zabbix сервера
ServerActive=192.168.1.100  # IP-адрес Zabbix сервера для активных проверок
Hostname=DC-01  # Имя контроллера домена
LogFileSize=1    # Размер лог файла в МБ

Важно: Убедитесь, что параметр Hostname в конфигурации агента точно соответствует имени хоста, который будет создан в интерфейсе Zabbix.

Проверка работы агента:

После установки и настройки проверьте работу агента с помощью команды:

netstat -an | findstr 10050

Должен быть открыт TCP порт 10050 для приема данных от Zabbix сервера.

Настройка аудита в Windows Server 2016

Для мониторинга событий Active Directory необходимо включить соответствующие политики аудита в Windows Server 2016.

Включение аудита безопасности:

  1. Откройте Group Policy Editor (gpedit.msc)
  2. Перейдите в раздел: Computer Configuration → Windows Settings → Security Settings → Advanced Audit Policy → Audit Policy
  3. Включите следующие политики аудита:
    • Audit Credential Validation (Аудит проверки учетных данных)
    • Audit Account Logon (Аудит входа в систему)
    • Audit Account Management (Аудит управления учетными записями)

Настройка специфических событий:

Для мониторинга конкретных действий настройте детальный аудит:

Учетные записи пользователей:

  • ID 4720: Создание учетной записи пользователя
  • ID 4722: Включение учетной записи пользователя
  • ID 4725: Отключение учетной записи пользователя
  • ID 4738: Изменение учетной записи пользователя
  • ID 4740: Блокировка учетной записи пользователя

Пароли:

  • ID 4724: Попытка сброса пароля
  • ID 4723: Изменение пароля
  • ID 4767: Сброс пароля

Неудачные входы:

  • ID 4625: Неудачная попытка входа
  • ID 4634: Выход из системы
  • ID 4647: Инициализированный выход из системы

Командная строка для включения аудита:

Вы можете использовать PowerShell для быстрой настройки аудита:

powershell
# Включить аудит неудачных входов
auditpol /set /subcategory:"Logon" /success:enable /failure:enable

# Включить аудит управления учетными записями
auditpol /set /subcategory:"Kerberos Authentication Service" /success:enable /failure:enable

Создание шаблонов мониторинга в Zabbix

Zabbix предоставляет готовые шаблоны для мониторинга Active Directory, которые можно импортировать в систему.

Официальные шаблоны:

  1. Template App Active Directory: Шаблон для базового мониторинга AD
  2. Template Windows by Zabbix agent active: Стандартный шаблон для Windows систем

Импорт шаблонов:

  1. Скачайте шаблоны с официального сайта Zabbix или из репозиториев
  2. В интерфейсе Zabbix перейдите в: Configuration → Templates → Import
  3. Выберите XML файл шаблона и импортируйте его

Настройка кастомного шаблона:

Для специфических нужд можно создать собственный шаблон:

  1. В Zabbix создайте новый шаблон: Configuration → Templates → Create template
  2. Добавьте элементы данных (items) для мониторинга событий:
    eventlog[Security,,,,4625,,skip]  - Неудачные входы
eventlog[Security,,,,4720,,skip]  - Создание учетных записей
eventlog[Security,,,,4725,,skip]  - Отключение учетных записей
eventlog[Security,,,,4738,,skip]  - Изменение учетных записей

Пример конфигурации элемента данных:

  • Name: Security - Failed logon attempts
  • Type: Zabbix agent
  • Key: eventlog[Security,4625,skip]
  • Update interval: 1m
  • History storage period: 30d

Конфигурация сбора конкретных событий

Для сбора конкретных событий Active Directory используйте специальные ключи элементов данных в Zabbix.

Настройка сбора по Event ID:

Основные ключи для мониторинга событий:

Тип события Event ID Описание Ключ Zabbix
Неудачный вход 4625 Security log - Failed logon attempt eventlog[Security,,,,4625,,skip]
Создание учетной записи 4720 Security log - User account created eventlog[Security,,,,4720,,skip]
Отключение учетной записи 4725 Security log - User account disabled eventlog[Security,,,,4725,,skip]
Изменение учетной записи 4738 Security log - User account changed eventlog[Security,,,,4738,,skip]
Блокировка учетной записи 4740 Security log - User account locked out eventlog[Security,,,,4740,,skip]
Сброс пароля 4767 Security log - User password reset eventlog[Security,,,,4767,,skip]

Настройка триггеров:

Для автоматического реагирования на события создайте триггеры:

Пример триггера для блокировки учетных записей:

  • Name: AD User account locked out
  • Expression: {DC-01:eventlog[Security,,,,4740,,skip].count()}>0
  • Severity: High
  • Description: User account has been locked out

Пример триггера для неудачных входов:

  • Name: AD Multiple failed logon attempts
  • Expression: {DC-01:eventlog[Security,,,,4625,,skip].count()}>10
  • Severity: Warning
  • Description: More than 10 failed logon attempts detected

Настройка действий:

Для автоматического уведомления о критических событиях создайте действия:

  1. Configuration → Actions → Create action
  2. Настройте условия срабатывания
  3. Настройте операции (отправка email, запуск скриптов)

Решение распространенных проблем

При настройке мониторинга Active Directory могут возникнуть различные проблемы.

Проблема 1: События не собираются

Причина: Отсутствует доступ к журналам событий или неправильно настроен агент.

Решение:

  1. Проверьте права доступа к журналам событий
  2. Убедитесь, что Zabbix Agent запущен от имени учетной записи с достаточными привилегиями
  3. Проверьте конфигурацию zabbix_agentd.conf
  4. Проверьте доступность порта 10050

Проблема 2: Высокая нагрузка на контроллер домена

Причина: Частые проверки журналов событий создают нагрузку на систему.

Решение:

  1. Увеличьте интервал обновления элементов данных
  2. Используйте параметр skip для исключения старых событий
  3. Настройте фильтрацию событий по конкретным Event ID

Проблема 3: Нет данных в Zabbix

Причина: Несоответствие имен хостов или конфигурации.

Решение:

  1. Убедитесь, что Hostname в zabbix_agentd.conf совпадает с именем в Zabbix
  2. Проверьте подключение к Zabbix серверу
  3. Проверьте логи Zabbix Agent на ошибки

Проблема 4: Неправильные события собираются

Причина: Слишком широкие фильтры событий.

Решение:

  1. Используйте более специфические Event ID в ключах элементов данных
  2. Добавьте дополнительные параметры фильтрации в ключи
  3. Настройте детальные политики аудита

Оптимизация производительности

Для эффективного мониторинга Active Directory без влияния на производительность контроллера домена настройте оптимизацию.

Оптимизация сбора событий:

  1. Используйте параметр skip: eventlog[Security,,,,4625,,skip] - исключает события, старшие времени последней проверки
  2. Увеличьте интервал обновления: Для менее критичных событий используйте интервал 5-10 минут
  3. Фильтруйте по источнику: Используйте дополнительные параметры фильтрации в ключах элементов данных

Пример оптимизированных ключей:

bash
# Для критичных событий - частая проверка
eventlog[Security,,,,4740,,skip]    # Блокировка учетных записей - 1 минута

# Для менее критичных - редкая проверка  
eventlog[Security,,,,4720,,skip]    # Создание учетных записей - 5 минут

Использование LLD (Low Level Discovery):

Для автоматического обнаружения и мониторинга большого количества событий используйте LLD:

  1. Создайте прототип элемента данных с регулярным выражением для Event ID
  2. Настройте триггеры на основе прототипов
  3. Используйте макросы для гибкой конфигурации

Пример LLD для событий безопасности:

json
{
    "discoveryRule": {
        "key": "security.event.discovery",
        "name": "Security events discovery",
        "type": "Zabbix agent",
        "updateInterval": 1h
    },
    "itemPrototypes": [
        {
            "key": "eventlog[Security,,,,{#EVENTID},,skip]",
            "name": "Security event {#EVENTID}",
            "type": "Zabbix agent"
        }
    ]
}

Мониторинг репликации Active Directory:

Для полного мониторинга AD также настройте отслеживание репликации:

  1. Установите PowerShell модуль для Active Directory
  2. Создайте скрипт для проверки репликации
  3. Добавьте элемент данных для выполнения скрипта
  4. Настройте триггеры на ошибки репликации
powershell
# Пример скрипта для проверки репликации
Get-ADReplicationFailure -ErrorAction SilentlyContinue | 
Where-Object {$_.LastFailureTime -gt (Get-Date).AddHours(-1)} |
Select-Object LastFailureTime, Partner, FailureCount

Источники

  1. Официальная документация Zabbix - Мониторинг журнала событий Windows
  2. Zabbix Integration - Active Directory monitoring
  3. GitHub репозиторий шаблонов для Active Directory
  4. Настройка Zabbix Agent для Windows
  5. Примеры триггеров и событий Active Directory
  6. Оптимизация производительности Zabbix
  7. Решение проблем с Zabbix AD мониторингом

Заключение

Настройка мониторинга событий Active Directory в Zabbix для Windows Server 2016 является комплексной задачей, требующей координации нескольких компонентов: Zabbix Agent, политик аудита Windows и конфигурации шаблонов в Zabbix. Основные шаги включают установку и настройку агента, включение соответствующих политик аудита, создание шаблонов мониторинга и настройку сбора конкретных событий.

Для успешной реализации рекомендуется начать с базовой конфигурации мониторинга критичных событий (блокировка учетных записей, неудачные входы) и постепенно расширять охват до менее критичных событий. Важно оптимизировать производительность, используя параметр skip и регулируя интервалы обновления.

При возникновении проблем следует проверять конфигурацию агента, права доступа к журналам событий и соответствие имен хостов. Для сложных сценариев можно использовать готовые шаблоны из GitHub или официальных источников Zabbix.

Для дальнейшего изучения темы рекомендуется изучить документацию Zabbix и экспериментировать с различными триггерами и действиями для автоматизации реагирования на события Active Directory.

Как настроить автоматическое реагирование на блокировку учетных записей в Zabbix?Какие Event ID наиболее важны для мониторинга безопасности Active Directory?Как оптимизировать производительность Zabbix при мониторинге большого количества событий?Какие готовые шаблоны Zabbix существуют для мониторинга Active Directory?Как настроить мониторинг репликации Active Directory в Zabbix?Какие права доступа требуются для Zabbix Agent при мониторинге событий Windows?
Спросить у NeuroAgent