СоХабр закрыт.
С 13.05.2019 изменения постов больше не отслеживаются, и новые посты не сохраняются.
evtsys -i -h <heka_host> -p <heka_port> -f 17 -t <zabbix_host>
[eventlog]
type = "UdpInput"
address = ":10514"
decoder = "syslog-decoder"
[syslog-decoder]
type = "MultiDecoder"
subs = ["rsyslog-decoder", "events-decoder"]
cascade_strategy = "all"
#log_sub_errors = true
[events-decoder]
type = "MultiDecoder"
subs = ["event-4624-decoder", "event-4625-decoder", "event-4724-decoder", "event-4738-decoder", "event-4740-decoder"]
cascade_strategy = "first-wins"
#log_sub_errors = true
[rsyslog-decoder]
type = "SandboxDecoder"
filename = "lua_decoders/rsyslog.lua"
[rsyslog-decoder.config]
type = "RSYSLOG_TraditionalForwardFormat"
template = '<%PRI%>%TIMESTAMP% %HOSTNAME% %HOSTNAME% %syslogtag:1:32%%msg:::sp-if-no-1st-sp%%msg%'
tz = "Europe/Moscow"
[event-4624-decoder]
type = "PayloadRegexDecoder"
match_regex = '^(?P<EventID>4624):(?:[^:]+:){10}\s(?P<Account>[^\s]+)[^:]+:\s(?P<Domain>[^\s]+)(?:[^:]+:){8}\s(?P<IP>[^\s]+)'
[event-4624-decoder.message_fields]
Type = "windows.eventlog"
Key = 'eventlog.%EventID%'
Value = 'Успешный вход пользователя %Domain%\%Account% с адреса %IP%.'
[ZabbixEncoder]
type = "SandboxEncoder"
filename = "lua_encoders/zabbix_trapper.lua"
[event-out-zabbix]
type = "TcpOutput"
message_matcher = "Type == 'windows.eventlog'"
address = "127.0.0.1:10051"
encoder = "ZabbixEncoder"
reconnect_after = 1
[event-out-file]
type = "FileOutput"
message_matcher = "Type == 'windows.eventlog'"
path = "/tmp/events.log"
perm = "666"
flush_count = 100
flush_operator = "OR"
encoder = "RstEncoder"
require "os"
require "string"
require "table"
-- Библиотека JSON.
-- https://www.kyne.com.au/~mark/software/lua-cjson.php
local cjson = require("cjson")
function process_message()
-- Название хоста в Zabbix.
local host = read_message("Hostname")
-- Ключ элемента данных.
local key = read_message("Fields[Key]")
-- Значение элемента данных.
local value = read_message("Fields[Value]")
-- Начинаем собирать JSON-сообщение.
local message = {}
-- Отрезаем паразитное двоеточие, которое у нас осталось со времён парсинга syslog сообщения.
message["host"] = string.sub(host, 1, -2)
message["key"] = key
message["value"] = value
local buffer = {message}
local zabbix_message = {}
zabbix_message["request"] = "sender data"
zabbix_message["data"] = buffer
-- Создаём новый payload в сообщении, который состоит из подготовленного массива с данными, закодированного в JSON.
inject_payload("json", "Payload", cjson.encode(zabbix_message))
return 0
end
<?xml version="1.0" encoding="UTF-8"?>
<zabbix_export>
<version>3.0</version>
<date>2016-10-01T13:30:30Z</date>
<groups>
<group>
<name>Шаблоны безопасности</name>
</group>
</groups>
<templates>
<template>
<template>Template Windows Users Audit</template>
<name>Template Windows Users Audit</name>
<description>Шаблон, обеспечивающий контрольдействий пользователей, путем анализа журнала безопасности системы.</description>
<groups>
<group>
<name>Шаблоны безопасности</name>
</group>
</groups>
<applications>
<application>
<name>Группы пользователей</name>
</application>
<application>
<name>Пользователи</name>
</application>
</applications>
<items>
<item>
<name>Журнал аудита очищен.</name>
<type>2</type>
<snmp_community/>
<multiplier>0</multiplier>
<snmp_oid/>
<key>eventlog.1102</key>
<delay>0</delay>
<history>1</history>
<trends>0</trends>
<status>0</status>
<value_type>2</value_type>
<allowed_hosts/>
<units/>
<delta>0</delta>
<snmpv3_contextname/>
<snmpv3_securityname/>
<snmpv3_securitylevel>0</snmpv3_securitylevel>
<snmpv3_authprotocol>0</snmpv3_authprotocol>
<snmpv3_authpassphrase/>
<snmpv3_privprotocol>0</snmpv3_privprotocol>
<snmpv3_privpassphrase/>
<formula>1</formula>
<delay_flex/>
<params/>
<ipmi_sensor/>
<data_type>0</data_type>
<authtype>0</authtype>
<username/>
<password/>
<publickey/>
<privatekey/>
<port/>
<description>Возникает при очистке пользователем журнала аудита.</description>
<inventory_link>0</inventory_link>
<applications>
<application>
<name>Пользователи</name>
</application>
</applications>
<valuemap/>
<logtimefmt/>
</item>
<item>
<name>Успешный вход пользователя в систему.</name>
<type>2</type>
<snmp_community/>
<multiplier>0</multiplier>
<snmp_oid/>
<key>eventlog.4624</key>
<delay>0</delay>
<history>1</history>
<trends>0</trends>
<status>0</status>
<value_type>2</value_type>
<allowed_hosts/>
<units/>
<delta>0</delta>
<snmpv3_contextname/>
<snmpv3_securityname/>
<snmpv3_securitylevel>0</snmpv3_securitylevel>
<snmpv3_authprotocol>0</snmpv3_authprotocol>
<snmpv3_authpassphrase/>
<snmpv3_privprotocol>0</snmpv3_privprotocol>
<snmpv3_privpassphrase/>
<formula>1</formula>
<delay_flex/>
<params/>
<ipmi_sensor/>
<data_type>0</data_type>
<authtype>0</authtype>
<username/>
<password/>
<publickey/>
<privatekey/>
<port/>
<description>Возникает при успешном входе пользователя или службы в систему.</description>
<inventory_link>0</inventory_link>
<applications>
<application>
<name>Пользователи</name>
</application>
</applications>
<valuemap/>
<logtimefmt/>
</item>
<item>
<name>Учётной записи не удалось выполнить вход в систему.</name>
<type>2</type>
<snmp_community/>
<multiplier>0</multiplier>
<snmp_oid/>
<key>eventlog.4625</key>
<delay>0</delay>
<history>1</history>
<trends>0</trends>
<status>0</status>
<value_type>2</value_type>
<allowed_hosts/>
<units/>
<delta>0</delta>
<snmpv3_contextname/>
<snmpv3_securityname/>
<snmpv3_securitylevel>0</snmpv3_securitylevel>
<snmpv3_authprotocol>0</snmpv3_authprotocol>
<snmpv3_authpassphrase/>
<snmpv3_privprotocol>0</snmpv3_privprotocol>
<snmpv3_privpassphrase/>
<formula>1</formula>
<delay_flex/>
<params/>
<ipmi_sensor/>
<data_type>0</data_type>
<authtype>0</authtype>
<username/>
<password/>
<publickey/>
<privatekey/>
<port/>
<description>Возникает при проблемах со входом пользователя или службы в систему.</description>
<inventory_link>0</inventory_link>
<applications>
<application>
<name>Пользователи</name>
</application>
</applications>
<valuemap/>
<logtimefmt/>
</item>
<item>
<name>Создана учётная запись пользователя.</name>
<type>2</type>
<snmp_community/>
<multiplier>0</multiplier>
<snmp_oid/>
<key>eventlog.4720</key>
<delay>0</delay>
<history>1</history>
<trends>0</trends>
<status>0</status>
<value_type>2</value_type>
<allowed_hosts/>
<units/>
<delta>0</delta>
<snmpv3_contextname/>
<snmpv3_securityname/>
<snmpv3_securitylevel>0</snmpv3_securitylevel>
<snmpv3_authprotocol>0</snmpv3_authprotocol>
<snmpv3_authpassphrase/>
<snmpv3_privprotocol>0</snmpv3_privprotocol>
<snmpv3_privpassphrase/>
<formula>1</formula>
<delay_flex/>
<params/>
<ipmi_sensor/>
<data_type>0</data_type>
<authtype>0</authtype>
<username/>
<password/>
<publickey/>
<privatekey/>
<port/>
<description>Возникает при создании новой учетной записи.</description>
<inventory_link>0</inventory_link>
<applications>
<application>
<name>Пользователи</name>
</application>
</applications>
<valuemap/>
<logtimefmt/>
</item>
<item>
<name>Попытка сбросить пароль учётной записи.</name>
<type>2</type>
<snmp_community/>
<multiplier>0</multiplier>
<snmp_oid/>
<key>eventlog.4724</key>
<delay>0</delay>
<history>1</history>
<trends>0</trends>
<status>0</status>
<value_type>2</value_type>
<allowed_hosts/>
<units/>
<delta>0</delta>
<snmpv3_contextname/>
<snmpv3_securityname/>
<snmpv3_securitylevel>0</snmpv3_securitylevel>
<snmpv3_authprotocol>0</snmpv3_authprotocol>
<snmpv3_authpassphrase/>
<snmpv3_privprotocol>0</snmpv3_privprotocol>
<snmpv3_privpassphrase/>
<formula>1</formula>
<delay_flex/>
<params/>
<ipmi_sensor/>
<data_type>0</data_type>
<authtype>0</authtype>
<username/>
<password/>
<publickey/>
<privatekey/>
<port/>
<description>Возникает при попытке сбросить пароль учетной записи.</description>
<inventory_link>0</inventory_link>
<applications>
<application>
<name>Пользователи</name>
</application>
</applications>
<valuemap/>
<logtimefmt/>
</item>
<item>
<name>Отключена учётная запись пользователя.</name>
<type>2</type>
<snmp_community/>
<multiplier>0</multiplier>
<snmp_oid/>
<key>eventlog.4725</key>
<delay>0</delay>
<history>1</history>
<trends>0</trends>
<status>0</status>
<value_type>2</value_type>
<allowed_hosts/>
<units/>
<delta>0</delta>
<snmpv3_contextname/>
<snmpv3_securityname/>
<snmpv3_securitylevel>0</snmpv3_securitylevel>
<snmpv3_authprotocol>0</snmpv3_authprotocol>
<snmpv3_authpassphrase/>
<snmpv3_privprotocol>0</snmpv3_privprotocol>
<snmpv3_privpassphrase/>
<formula>1</formula>
<delay_flex/>
<params/>
<ipmi_sensor/>
<data_type>0</data_type>
<authtype>0</authtype>
<username/>
<password/>
<publickey/>
<privatekey/>
<port/>
<description>Возникает при отключении учетной записи пользователя.</description>
<inventory_link>0</inventory_link>
<applications>
<application>
<name>Пользователи</name>
</application>
</applications>
<valuemap/>
<logtimefmt/>
</item>
<item>
<name>Удалена учётная запись пользователя.</name>
<type>2</type>
<snmp_community/>
<multiplier>0</multiplier>
<snmp_oid/>
<key>eventlog.4726</key>
<delay>0</delay>
<history>1</history>
<trends>0</trends>
<status>0</status>
<value_type>2</value_type>
<allowed_hosts/>
<units/>
<delta>0</delta>
<snmpv3_contextname/>
<snmpv3_securityname/>
<snmpv3_securitylevel>0</snmpv3_securitylevel>
<snmpv3_authprotocol>0</snmpv3_authprotocol>
<snmpv3_authpassphrase/>
<snmpv3_privprotocol>0</snmpv3_privprotocol>
<snmpv3_privpassphrase/>
<formula>1</formula>
<delay_flex/>
<params/>
<ipmi_sensor/>
<data_type>0</data_type>
<authtype>0</authtype>
<username/>
<password/>
<publickey/>
<privatekey/>
<port/>
<description>Возникает при удалении учетной записи пользователя.</description>
<inventory_link>0</inventory_link>
<applications>
<application>
<name>Пользователи</name>
</application>
</applications>
<valuemap/>
<logtimefmt/>
</item>
<item>
<name>Создана защищённая локальная группа безопасности.</name>
<type>2</type>
<snmp_community/>
<multiplier>0</multiplier>
<snmp_oid/>
<key>eventlog.4731</key>
<delay>0</delay>
<history>1</history>
<trends>0</trends>
<status>0</status>
<value_type>2</value_type>
<allowed_hosts/>
<units/>
<delta>0</delta>
<snmpv3_contextname/>
<snmpv3_securityname/>
<snmpv3_securitylevel>0</snmpv3_securitylevel>
<snmpv3_authprotocol>0</snmpv3_authprotocol>
<snmpv3_authpassphrase/>
<snmpv3_privprotocol>0</snmpv3_privprotocol>
<snmpv3_privpassphrase/>
<formula>1</formula>
<delay_flex/>
<params/>
<ipmi_sensor/>
<data_type>0</data_type>
<authtype>0</authtype>
<username/>
<password/>
<publickey/>
<privatekey/>
<port/>
<description>Возникает при создании локальной группы безопасности.</description>
<inventory_link>0</inventory_link>
<applications>
<application>
<name>Группы пользователей</name>
</application>
</applications>
<valuemap/>
<logtimefmt/>
</item>
<item>
<name>Добавлен участник в защищённую локальную группу.</name>
<type>2</type>
<snmp_community/>
<multiplier>0</multiplier>
<snmp_oid/>
<key>eventlog.4732</key>
<delay>0</delay>
<history>1</history>
<trends>0</trends>
<status>0</status>
<value_type>2</value_type>
<allowed_hosts/>
<units/>
<delta>0</delta>
<snmpv3_contextname/>
<snmpv3_securityname/>
<snmpv3_securitylevel>0</snmpv3_securitylevel>
<snmpv3_authprotocol>0</snmpv3_authprotocol>
<snmpv3_authpassphrase/>
<snmpv3_privprotocol>0</snmpv3_privprotocol>
<snmpv3_privpassphrase/>
<formula>1</formula>
<delay_flex/>
<params/>
<ipmi_sensor/>
<data_type>0</data_type>
<authtype>0</authtype>
<username/>
<password/>
<publickey/>
<privatekey/>
<port/>
<description>Возникает при добавлении участника в локальную группу безопасности.</description>
<inventory_link>0</inventory_link>
<applications>
<application>
<name>Группы пользователей</name>
</application>
</applications>
<valuemap/>
<logtimefmt/>
</item>
<item>
<name>Удален участник из защищённой локальной группы.</name>
<type>2</type>
<snmp_community/>
<multiplier>0</multiplier>
<snmp_oid/>
<key>eventlog.4733</key>
<delay>0</delay>
<history>1</history>
<trends>0</trends>
<status>0</status>
<value_type>2</value_type>
<allowed_hosts/>
<units/>
<delta>0</delta>
<snmpv3_contextname/>
<snmpv3_securityname/>
<snmpv3_securitylevel>0</snmpv3_securitylevel>
<snmpv3_authprotocol>0</snmpv3_authprotocol>
<snmpv3_authpassphrase/>
<snmpv3_privprotocol>0</snmpv3_privprotocol>
<snmpv3_privpassphrase/>
<formula>1</formula>
<delay_flex/>
<params/>
<ipmi_sensor/>
<data_type>0</data_type>
<authtype>0</authtype>
<username/>
<password/>
<publickey/>
<privatekey/>
<port/>
<description>Возникает при удалении участника из локальной группы безопасности.</description>
<inventory_link>0</inventory_link>
<applications>
<application>
<name>Группы пользователей</name>
</application>
</applications>
<valuemap/>
<logtimefmt/>
</item>
<item>
<name>Удалена защищённая локальная группа безопасности.</name>
<type>2</type>
<snmp_community/>
<multiplier>0</multiplier>
<snmp_oid/>
<key>eventlog.4734</key>
<delay>0</delay>
<history>1</history>
<trends>0</trends>
<status>0</status>
<value_type>2</value_type>
<allowed_hosts/>
<units/>
<delta>0</delta>
<snmpv3_contextname/>
<snmpv3_securityname/>
<snmpv3_securitylevel>0</snmpv3_securitylevel>
<snmpv3_authprotocol>0</snmpv3_authprotocol>
<snmpv3_authpassphrase/>
<snmpv3_privprotocol>0</snmpv3_privprotocol>
<snmpv3_privpassphrase/>
<formula>1</formula>
<delay_flex/>
<params/>
<ipmi_sensor/>
<data_type>0</data_type>
<authtype>0</authtype>
<username/>
<password/>
<publickey/>
<privatekey/>
<port/>
<description>Возникает при удалении защищенной локальной группы безопасности.</description>
<inventory_link>0</inventory_link>
<applications>
<application>
<name>Группы пользователей</name>
</application>
</applications>
<valuemap/>
<logtimefmt/>
</item>
<item>
<name>Изменена защищённая локальная группа безопасности.</name>
<type>2</type>
<snmp_community/>
<multiplier>0</multiplier>
<snmp_oid/>
<key>eventlog.4735</key>
<delay>0</delay>
<history>1</history>
<trends>0</trends>
<status>0</status>
<value_type>2</value_type>
<allowed_hosts/>
<units/>
<delta>0</delta>
<snmpv3_contextname/>
<snmpv3_securityname/>
<snmpv3_securitylevel>0</snmpv3_securitylevel>
<snmpv3_authprotocol>0</snmpv3_authprotocol>
<snmpv3_authpassphrase/>
<snmpv3_privprotocol>0</snmpv3_privprotocol>
<snmpv3_privpassphrase/>
<formula>1</formula>
<delay_flex/>
<params/>
<ipmi_sensor/>
<data_type>0</data_type>
<authtype>0</authtype>
<username/>
<password/>
<publickey/>
<privatekey/>
<port/>
<description>Возникает при изменении защищенной локальной группы безопасности.</description>
<inventory_link>0</inventory_link>
<applications>
<application>
<name>Группы пользователей</name>
</application>
</applications>
<valuemap/>
<logtimefmt/>
</item>
<item>
<name>Изменена учётная запись пользователя.</name>
<type>2</type>
<snmp_community/>
<multiplier>0</multiplier>
<snmp_oid/>
<key>eventlog.4738</key>
<delay>0</delay>
<history>1</history>
<trends>0</trends>
<status>0</status>
<value_type>2</value_type>
<allowed_hosts/>
<units/>
<delta>0</delta>
<snmpv3_contextname/>
<snmpv3_securityname/>
<snmpv3_securitylevel>0</snmpv3_securitylevel>
<snmpv3_authprotocol>0</snmpv3_authprotocol>
<snmpv3_authpassphrase/>
<snmpv3_privprotocol>0</snmpv3_privprotocol>
<snmpv3_privpassphrase/>
<formula>1</formula>
<delay_flex/>
<params/>
<ipmi_sensor/>
<data_type>0</data_type>
<authtype>0</authtype>
<username/>
<password/>
<publickey/>
<privatekey/>
<port/>
<description>Возникает при изменении свойств учетной записи пользователя.</description>
<inventory_link>0</inventory_link>
<applications>
<application>
<name>Пользователи</name>
</application>
</applications>
<valuemap/>
<logtimefmt/>
</item>
<item>
<name>Заблокирована учётная запись пользователя.</name>
<type>2</type>
<snmp_community/>
<multiplier>0</multiplier>
<snmp_oid/>
<key>eventlog.4740</key>
<delay>0</delay>
<history>1</history>
<trends>0</trends>
<status>0</status>
<value_type>2</value_type>
<allowed_hosts/>
<units/>
<delta>0</delta>
<snmpv3_contextname/>
<snmpv3_securityname/>
<snmpv3_securitylevel>0</snmpv3_securitylevel>
<snmpv3_authprotocol>0</snmpv3_authprotocol>
<snmpv3_authpassphrase/>
<snmpv3_privprotocol>0</snmpv3_privprotocol>
<snmpv3_privpassphrase/>
<formula>1</formula>
<delay_flex/>
<params/>
<ipmi_sensor/>
<data_type>0</data_type>
<authtype>0</authtype>
<username/>
<password/>
<publickey/>
<privatekey/>
<port/>
<description>Возникает при блокировке учетной записи пользователя.</description>
<inventory_link>0</inventory_link>
<applications>
<application>
<name>Пользователи</name>
</application>
</applications>
<valuemap/>
<logtimefmt/>
</item>
<item>
<name>Изменено имя учётной записи.</name>
<type>2</type>
<snmp_community/>
<multiplier>0</multiplier>
<snmp_oid/>
<key>eventlog.4781</key>
<delay>0</delay>
<history>1</history>
<trends>0</trends>
<status>0</status>
<value_type>2</value_type>
<allowed_hosts/>
<units/>
<delta>0</delta>
<snmpv3_contextname/>
<snmpv3_securityname/>
<snmpv3_securitylevel>0</snmpv3_securitylevel>
<snmpv3_authprotocol>0</snmpv3_authprotocol>
<snmpv3_authpassphrase/>
<snmpv3_privprotocol>0</snmpv3_privprotocol>
<snmpv3_privpassphrase/>
<formula>1</formula>
<delay_flex/>
<params/>
<ipmi_sensor/>
<data_type>0</data_type>
<authtype>0</authtype>
<username/>
<password/>
<publickey/>
<privatekey/>
<port/>
<description>Возникает при изменении имени учетной записи пользователя.</description>
<inventory_link>0</inventory_link>
<applications>
<application>
<name>Пользователи</name>
</application>
</applications>
<valuemap/>
<logtimefmt/>
</item>
</items>
<discovery_rules/>
<macros/>
<templates/>
<screens/>
</template>
</templates>
<triggers>
<trigger>
<expression>{Template Windows Users Audit:eventlog.4732.nodata(120)}=0</expression>
<name>{HOST.NAME}: Добавлен участник в защищённую локальную группу.</name>
<url/>
<status>0</status>
<priority>4</priority>
<description>{HOST.NAME}: Добавлен участник в защищённую локальную группу.
{ITEM.LASTVALUE}</description>
<type>0</type>
<dependencies/>
</trigger>
<trigger>
<expression>{Template Windows Users Audit:eventlog.1102.nodata(120)}=0</expression>
<name>{HOST.NAME}: Журнал аудита очищен.</name>
<url/>
<status>0</status>
<priority>4</priority>
<description>{HOST.NAME}: Журнал аудита очищен.
{ITEM.LASTVALUE}</description>
<type>0</type>
<dependencies/>
</trigger>
<trigger>
<expression>{Template Windows Users Audit:eventlog.4740.nodata(120)}=0</expression>
<name>{HOST.NAME}: Заблокирована учётная запись пользователя.</name>
<url/>
<status>0</status>
<priority>3</priority>
<description>{HOST.NAME}: Заблокирована учётная запись пользователя.
{ITEM.LASTVALUE}</description>
<type>0</type>
<dependencies/>
</trigger>
<trigger>
<expression>{Template Windows Users Audit:eventlog.4735.nodata(120)}=0</expression>
<name>{HOST.NAME}: Изменена защищённая локальная группа безопасности.</name>
<url/>
<status>0</status>
<priority>4</priority>
<description>{HOST.NAME}: Изменена защищённая локальная группа безопасности.
{ITEM.LASTVALUE}</description>
<type>0</type>
<dependencies/>
</trigger>
<trigger>
<expression>{Template Windows Users Audit:eventlog.4738.nodata(120)}=0</expression>
<name>{HOST.NAME}: Изменена учётная запись пользователя.</name>
<url/>
<status>0</status>
<priority>4</priority>
<description>{HOST.NAME}: Изменена учётная запись пользователя.
{ITEM.LASTVALUE}</description>
<type>0</type>
<dependencies/>
</trigger>
<trigger>
<expression>{Template Windows Users Audit:eventlog.4781.nodata(120)}=0</expression>
<name>{HOST.NAME}: Изменено имя учётной записи.</name>
<url/>
<status>0</status>
<priority>4</priority>
<description>{HOST.NAME}: Изменено имя учётной записи.
{ITEM.LASTVALUE}</description>
<type>0</type>
<dependencies/>
</trigger>
<trigger>
<expression>{Template Windows Users Audit:eventlog.4725.nodata(120)}=0</expression>
<name>{HOST.NAME}: Отключена учётная запись пользователя.</name>
<url/>
<status>0</status>
<priority>4</priority>
<description>{HOST.NAME}: Отключена учётная запись пользователя.
{ITEM.LASTVALUE}</description>
<type>0</type>
<dependencies/>
</trigger>
<trigger>
<expression>{Template Windows Users Audit:eventlog.4724.nodata(120)}=0</expression>
<name>{HOST.NAME}: Попытка сбросить пароль учётной записи.</name>
<url/>
<status>0</status>
<priority>4</priority>
<description>{HOST.NAME}: Попытка сбросить пароль учётной записи.
{ITEM.LASTVALUE}</description>
<type>0</type>
<dependencies/>
</trigger>
<trigger>
<expression>{Template Windows Users Audit:eventlog.4731.nodata(120)}=0</expression>
<name>{HOST.NAME}: Создана защищённая локальная группа безопасности.</name>
<url/>
<status>0</status>
<priority>4</priority>
<description>{HOST.NAME}: Создана защищённая локальная группа безопасности.
{ITEM.LASTVALUE}</description>
<type>0</type>
<dependencies/>
</trigger>
<trigger>
<expression>{Template Windows Users Audit:eventlog.4720.nodata(120)}=0</expression>
<name>{HOST.NAME}: Создана учётная запись пользователя.</name>
<url/>
<status>0</status>
<priority>4</priority>
<description>{HOST.NAME}: Создана учётная запись пользователя.
{ITEM.LASTVALUE}</description>
<type>0</type>
<dependencies/>
</trigger>
<trigger>
<expression>{Template Windows Users Audit:eventlog.4734.nodata(120)}=0</expression>
<name>{HOST.NAME}: Удалена защищённая локальная группа безопасности.</name>
<url/>
<status>0</status>
<priority>3</priority>
<description>{HOST.NAME}: Удалена защищённая локальная группа безопасности.
{ITEM.LASTVALUE}</description>
<type>0</type>
<dependencies/>
</trigger>
<trigger>
<expression>{Template Windows Users Audit:eventlog.4726.nodata(120)}=0</expression>
<name>{HOST.NAME}: Удалена учётная запись пользователя.</name>
<url/>
<status>0</status>
<priority>3</priority>
<description>{HOST.NAME}: Удалена учётная запись пользователя.
{ITEM.LASTVALUE}</description>
<type>0</type>
<dependencies/>
</trigger>
<trigger>
<expression>{Template Windows Users Audit:eventlog.4733.nodata(120)}=0</expression>
<name>{HOST.NAME}: Удален участник из защищённой локальной группы.</name>
<url/>
<status>0</status>
<priority>3</priority>
<description>{HOST.NAME}: Удален участник из защищённой локальной группы.
{ITEM.LASTVALUE}</description>
<type>0</type>
<dependencies/>
</trigger>
<trigger>
<expression>{Template Windows Users Audit:eventlog.4624.nodata(10)}=0</expression>
<name>{HOST.NAME}: Успешный вход пользователя в систему.</name>
<url/>
<status>0</status>
<priority>1</priority>
<description>{HOST.NAME}: Успешный вход пользователя в систему.
{ITEM.LASTVALUE}</description>
<type>0</type>
<dependencies/>
</trigger>
<trigger>
<expression>{Template Windows Users Audit:eventlog.4625.nodata(120)}=0</expression>
<name>{HOST.NAME}: Учётной записи не удалось выполнить вход в систему.</name>
<url/>
<status>0</status>
<priority>2</priority>
<description>{HOST.NAME}: Учётной записи не удалось выполнить вход в систему.
{ITEM.LASTVALUE}</description>
<type>0</type>
<dependencies/>
</trigger>
</triggers>
</zabbix_export>
комментарии (0)