Zabbix:Template Windows Anmelde Fehlversuche

Changelog:

• 18.02.2021 erste Version

Vorwort

Die Aufgabenstellung war es, alle Login-Fehlversuche unter Windows zu erfassen.
Bei 3 Fehlversuchen innerhalb von 15 Minuten soll ein Trigger auslösen.

Das hier beschriebene Template macht folgendes:

• Per PowerShell werden alle 10 Minuten die Login-Fehlversuche der letzten 15 Minuten abgefragt
• Zusätzlich werden alle 10 Minuten alle Login-Fehlversuche aus dem Eventlog von Windows abgefragt
• Es löst ein Trigger aus wenn es
  • Mehr als 3 Fehlversuche gab
  • und entsprechende Meldungen aus dem Eventlog abgefragt werden konnten (wir haben einen .last Wert!)
  • Der Trigger hat keine OK event generation sondern muss immer manuell geschlossen werden

Das ganze hat folgende Lücken/Schwächen:

• Die Erfassung der Fehlversuche ist global pro Host. Wenn also 4 verschiedene Benutzer innerhalb von 15 Minuten alle einmal das Passwort falsch eingeben löst der Trigger auch aus
• In einer Meldung kann der letzte Eventlog-Eintrag mit gesendet werden (ist in Description hinterlegt). Der Wert muss aber nicht der richtige sein. Es werden aber alle Ereignisse geloggt und können über Latest data eingesehen werden.
  

UserParameter

Der Zabbix-Agent muss mittels folgenden UserParameter in seiner Konfigurationsdatei erweitert werden:

# Check Login Failures
UserParameter=CheckLoginFailures[*],powershell "$TimeShift = (Get-Date).AddMinutes(-$1); (Get-WinEvent @{LogName='Security';ProviderName='Microsoft-Windows-Security-Auditing';ID=4625; StartTime=$TimeShift } -erroraction 'silentlycontinue' | measure).count"

Nach dem Eintrag muss der Agent einmal neu gestartet werden.

Testen lässt sich das im Anschluss per CMD-Aufruf:

zabbix_agentd.exe -c zabbix_agentd.win.conf -t CheckLoginFailures[15]

Template

Download: Znil_Template_Windows_Login_Failures_Zabbix5.0.zip
Ent-Zippen, Importieren und dann dem Host zuweisen.

Screenshots

Kommentare