2 Agente de Windows Zabbix

Descripción general

Los items del agent de Zabbix para Windows se presentan en dos listas:

• Items compartidos: las claves de item que se comparten con el agent de Zabbix para UNIX;
• Items específicos de Windows: las claves de item que se admiten solo en Windows.

Tenga en cuenta que todas las claves de item admitidas por el agent de Zabbix en Windows también son compatibles con el agent de Zabbix de nueva generación, agent 2. Consulte las claves de item adicionales que puede utilizar solo con el agent 2.

Consulte también: Permisos mínimos para items de Windows

Items compartidos

La siguiente tabla enumera los items del agent de Zabbix que son compatibles con Windows y se comparten con el agent de Zabbix para UNIX:

• La clave del item es un enlace a los detalles completos del item del agent de Zabbix para UNIX
• Se incluyen comentarios relevantes para Windows

Elementos específicos de Windows

La tabla proporciona detalles sobre las claves de elementos que solo son compatibles con el agente de Windows Zabbix.

Los elementos específicos de Windows a veces son una contraparte aproximada de un elemento similar. El elemento del agente, por ejemplo proc_info, compatible con Windows, corresponde aproximadamente al elemento proc.mem, no compatible con Windows.

La clave del artículo es un enlace a los detalles completos de la clave del artículo.

Detalles de la clave del item

Los parámetros sin corchetes angulares son obligatorios. Los parámetros marcados con corchetes angulares < > son opcionales.

eventlog[name,<regexp>,<severity>,<source>,<eventid>,<maxlines>,<mode>]

Supervisión del registro de eventos.
Valor devuelto: Log.

Parámetros:

• name - el nombre del canal del registro de eventos (Nombre del registro en la interfaz gráfica del Visor de eventos);
  
• regexp - una expresión regular que describe el patrón requerido (distingue mayúsculas y minúsculas);
  
• severity - una expresión regular que describe la severidad (no distingue mayúsculas y minúsculas). Este parámetro acepta una expresión regular basada en los siguientes valores: "Information", "Warning", "Error", "Critical", "Verbose" (en ejecución en Windows Vista o posterior).
  
• source - una expresión regular que describe el identificador de origen (no distingue mayúsculas y minúsculas);
  
• eventid - una expresión regular que describe el/los identificador(es) de evento (distingue mayúsculas y minúsculas);
  
• maxlines - el número máximo de nuevas líneas por segundo que el agent enviará al servidor o proxy de Zabbix. Este parámetro sobrescribe el valor de 'MaxLinesPerSecond' en zabbix_agentd.conf.
  
• mode - valores posibles: all (por defecto) o skip - omite el procesamiento de datos antiguos (afecta solo a los items recién creados).

Comentarios:

• El item debe configurarse como una verificación activa;
• El agent no puede enviar eventos desde el registro "Forwarded events";
• Se admite Windows Eventing 6.0;
• Seleccionar un tipo de información distinto de Log para este item provocará la pérdida de la marca de tiempo local, así como la información de severidad y origen del registro;
• Consulte también información adicional sobre la supervisión de logs.

Ejemplos:

eventlog[Application]
       eventlog[Microsoft-Windows-Application-Experience/Program-Compatibility-Assistant]
       eventlog[Security,,"Failure Audit",,^(529|680)$]
       eventlog[System,,"Warning|Error"]
       eventlog[System,,,,^1$]
       eventlog[Windows PowerShell,,,,,,skip]
       eventlog[System,,,,@TWOSHORT] #aquí se hace referencia a una expresión regular personalizada llamada `TWOSHORT` (definida como tipo *Result is TRUE*, la expresión en sí es `^1$|^70$`).

eventlog.count[name,<regexp>,<severity>,<source>,<eventid>,<maxproclines>,<mode>]

El número de líneas en el registro de eventos de Windows.
Valor devuelto: Integer.

Parámetros:

• name - el nombre del canal del registro de eventos (Log Name en la interfaz gráfica del Visor de eventos);
  
• regexp - una expresión regular que describe el patrón requerido (distingue mayúsculas y minúsculas);
  
• severity - una expresión regular que describe la gravedad (no distingue mayúsculas y minúsculas). Este parámetro acepta una expresión regular basada en los siguientes valores: "Information", "Warning", "Error", "Critical", "Verbose" (funciona en Windows Vista o superior).
  
• source - una expresión regular que describe el identificador de origen (no distingue mayúsculas y minúsculas);
  
• eventid - una expresión regular que describe el/los identificador(es) de evento (distingue mayúsculas y minúsculas);
  
• maxproclines - el número máximo de nuevas líneas por segundo que el agent analizará (no puede exceder 10000). El valor por defecto es 10*'MaxLinesPerSecond' en zabbix_agentd.conf.
  
• mode - valores posibles: all (por defecto) o skip - omite el procesamiento de datos antiguos (afecta solo a los items recién creados).

Comentarios:

• El item debe configurarse como una comprobación activa;
• El agent no puede enviar eventos desde el registro "Forwarded events";
• Se admite Windows Eventing 6.0;
• Seleccionar un tipo de información distinto de Log para este item provocará la pérdida de la marca de tiempo local, así como la información de gravedad y origen del registro;
• Consulte también información adicional sobre monitorización de logs.

Ejemplos:

eventlog.count[System,,"Warning|Error"]
       eventlog.count[Windows PowerShell,,,,,,skip]

net.if.lista

La lista de interfaces de red (incluye tipo de interfaz, estado, dirección IPv4, descripción).
Valor de retorno: Texto.

Comentarios:

• Se admiten nombres de interfaz multibyte;
• Las interfaces deshabilitadas no aparecen en la lista;
• Habilitar/deshabilitar algunos componentes puede cambiar su orden en el nombre de la interfaz de Windows;
• Algunas versiones de Windows (por ejemplo, Server 2008) pueden requerir la instalación de las últimas actualizaciones para admitir caracteres que no sean ASCII en los nombres de las interfaces.

perf_counter[counter,<interval>]

El valor de cualquier contador de rendimiento de Windows.
Valor devuelto: Entero, flotante, cadena o texto (dependiendo de la solicitud).

Parámetros:

• counter - la ruta al contador;
  
• interval - los últimos N segundos para almacenar el valor promedio. El interval debe estar entre 1 y 900 segundos (incluidos) y el valor por defecto es 1.

Comentarios:

• interval se utiliza para contadores que requieren más de una muestra (como la utilización de CPU), por lo que la comprobación devuelve un valor promedio para los últimos "interval" segundos cada vez;
• Se puede utilizar Performance Monitor para obtener la lista de contadores disponibles.
• Ver también: Contadores de rendimiento de Windows.

perf_counter_en[counter,<interval>]

El valor de cualquier contador de rendimiento de Windows en inglés.
Valor devuelto: Entero, flotante, cadena o texto (dependiendo de la solicitud).

Parámetros:

• counter - la ruta al contador en inglés;
  
• interval - los últimos N segundos para almacenar el valor promedio. El interval debe estar entre 1 y 900 segundos (incluido) y el valor por defecto es 1.

Comentarios:

• interval se utiliza para contadores que requieren más de una muestra (como la utilización de la CPU), por lo que la comprobación devuelve un valor promedio para los últimos "interval" segundos cada vez;
• Este item solo es compatible con Windows Server 2008/Vista y superiores;
• Puede encontrar la lista de cadenas en inglés consultando la siguiente clave de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\009.

perf_instance.discovery[object]

La lista de instancias de objetos de contadores de rendimiento de Windows. Se utiliza para el descubrimiento de bajo nivel.
Valor de retorno: objeto JSON.

Parámetro:

• object - el nombre del objeto (localizado).

perf_instance_en.discovery[object]

La lista de instancias de objetos de contadores de rendimiento de Windows, descubiertas utilizando los nombres de objetos en inglés. Se utiliza para descubrimiento de bajo nivel.
Valor de retorno: objeto JSON.

Parámetro:

• object - el nombre del objeto (en inglés).

proc_info[process,<attribute>,<type>]

Diversa información sobre procesos específicos.
Valor devuelto: Float.

Parámetros:

• process - el nombre del proceso;
  
• attribute - el atributo del proceso solicitado;
  
• type - el tipo de representación (relevante cuando existe más de un proceso con el mismo nombre)

Comentarios:

• Se admiten los siguientes attributes:
  vmsize (por defecto) - tamaño de la memoria virtual del proceso en Kbytes
  wkset - tamaño del conjunto de trabajo del proceso (cantidad de memoria física utilizada por el proceso) en Kbytes
  pf - número de fallos de página
  ktime - tiempo de kernel del proceso en milisegundos
  utime - tiempo de usuario del proceso en milisegundos
  io_read_b - número de bytes leídos por el proceso durante operaciones de E/S
  io_read_op - número de operaciones de lectura realizadas por el proceso
  io_write_b - número de bytes escritos por el proceso durante operaciones de E/S
  io_write_op - número de operaciones de escritura realizadas por el proceso
  io_other_b - número de bytes transferidos por el proceso durante operaciones distintas de lectura y escritura
  io_other_op - número de operaciones de E/S realizadas por el proceso, distintas de las operaciones de lectura y escritura
  gdiobj - número de objetos GDI utilizados por el proceso
  userobj - número de objetos USER utilizados por el proceso;
  
• Los types válidos son:
  avg (por defecto) - valor promedio para todos los procesos llamados <process>
  min - valor mínimo entre todos los procesos llamados <process>
  max - valor máximo entre todos los procesos llamados <process>
  sum - suma de los valores para todos los procesos llamados <process>;
• En un sistema de 64 bits, se requiere un agent de Zabbix de 64 bits para que este item funcione correctamente.
  

Ejemplos:

proc_info[iexplore.exe,wkset,sum] #recupera la cantidad de memoria física utilizada por todos los procesos de Internet Explorer
       proc_info[iexplore.exe,pf,avg] #recupera el número promedio de fallos de página para los procesos de Internet Explorer

registry.data[key,<value name>]

Devuelve los datos para el nombre de valor especificado en la clave del Registro de Windows.
Valor devuelto: Integer, string o text (dependiendo del tipo de valor)

Parámetros:

• key - la clave del registro incluyendo la clave raíz; se permiten abreviaturas de raíz (por ejemplo, HKLM);
• value name - el nombre del valor del registro en la clave (cadena vacía "" por defecto). Se devuelve el valor por defecto si no se proporciona el nombre del valor.

Comentarios:

• Abreviaturas de raíz soportadas:
  HKCR - HKEY_CLASSES_ROOT
  HKCC - HKEY_CURRENT_CONFIG
  HKCU - HKEY_CURRENT_USER
  HKCULS - HKEY_CURRENT_USER_LOCAL_SETTINGS
  HKLM - HKEY_LOCAL_MACHINE
  HKPD - HKEY_PERFORMANCE_DATA
  HKPN - HKEY_PERFORMANCE_NLSTEXT
  HKPT - HKEY_PERFORMANCE_TEXT
  HKU - HKEY_USERS
  
• Las claves con espacios deben ir entre comillas dobles.

Ejemplos:

registry.data["HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting"] #devuelve los datos del valor por defecto de esta clave
       registry.data["HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting","EnableZip"] #devuelve los datos del valor llamado "Enable Zip" en esta clave

registry.get[key,<mode>,<name regexp>]

La lista de valores o claves del Registro de Windows ubicados en la clave dada.
Valor de retorno: objeto JSON.

Parámetros:

• key - la clave del registro incluyendo la clave raíz; se permiten abreviaturas de raíz (por ejemplo, HKLM) (ver comentarios para registry.data[] para ver la lista completa de abreviaturas);
  
• mode - valores posibles:
  values (por defecto) o keys;
  
• name regexp - solo descubre valores con nombres que coincidan con la expresión regular (por defecto - descubre todos los valores). Permitido solo con values como mode.

Las claves con espacios deben ir entre comillas dobles.

Ejemplos:

registry.get[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,values,"^DisplayName|DisplayVersion$"] #devuelve los datos de los valores llamados "DisplayName" o "DisplayValue" en esta clave.
       El JSON incluirá detalles de la clave, la última subclave, el nombre del valor, el tipo de valor y los datos del valor.
       registry.get[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,values] #devuelve los datos de todos los valores en esta clave.
       El JSON incluirá detalles de la clave, la última subclave, el nombre del valor, el tipo de valor y los datos del valor.
       registry.get[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,keys] #devuelve todas las subclaves de esta clave.
       El JSON incluirá detalles de la clave y la última subclave.

service.discovery

La lista de servicios de Windows. Se utiliza para el descubrimiento de bajo nivel.
Valor de retorno: objeto JSON.

service.info[service,<param>]

Información sobre un servicio.
Valor de retorno: Integer - con param como state, startup; String - con param como displayname, path, user; Text - con param como description
Específicamente para state: 0 - ejecutándose, 1 - en pausa, 2 - iniciando, 3 - pausando, 4 - continuando, 5 - deteniendo, 6 - detenido, 7 - desconocido, 255 - no existe el servicio
Específicamente para startup: 0 - automático, 1 - automático retrasado, 2 - manual, 3 - deshabilitado, 4 - desconocido, 5 - inicio automático por trigger, 6 - inicio automático retrasado por trigger, 7 - inicio manual por trigger

Parámetros:

• service - un nombre real de servicio o su nombre para mostrar tal como se ve en el complemento MMC Services;
• param - state (por defecto), displayname, path, user, startup o description.

Comentarios:

• Los items como service.info[service,state] y service.info[service] devolverán la misma información;
• Sólo con param como state este item devuelve un valor para servicios inexistentes (255).

Ejemplos:

service.info[SNMPTRAP] - estado del servicio SNMPTRAP;
       service.info[SNMP Trap] - estado del mismo servicio, pero con el nombre para mostrar especificado;
       service.info[EventLog,startup] - el tipo de inicio del servicio EventLog

services[<type>,<state>,<exclude>]

El listado de servicios.
Valor de retorno: 0 - si está vacío; Texto - la lista de servicios separados por una nueva línea.

Parámetros:

• type - all (por defecto), automatic, manual o disabled;
• state - all (por defecto), stopped, started, start_pending, stop_pending, running, continue_pending, pause_pending o paused;
• exclude - los servicios a excluir del resultado. Los servicios excluidos deben listarse entre comillas dobles, separados por comas, sin espacios.

Ejemplos:

services[,started] #devuelve la lista de servicios iniciados;
       services[automatic, stopped] #devuelve la lista de servicios detenidos que deberían estar en ejecución;
       services[automatic, stopped, "service1,service2,service3"] #devuelve la lista de servicios detenidos que deberían estar en ejecución, excluyendo los servicios llamados "service1", "service2" y "service3"

vm.vmemory.size[<type>]

El tamaño de la memoria virtual en bytes o en porcentaje del total.
Valor de retorno: Integer - para bytes; float - para porcentaje.

Parámetro:

• type - valores posibles: available (memoria virtual disponible), pavailable (memoria virtual disponible, en porcentaje), pused (memoria virtual utilizada, en porcentaje), total (memoria virtual total, por defecto), o used (memoria virtual utilizada)

Comentarios:

• El monitoreo de las estadísticas de memoria virtual se basa en:
  
  • Memoria virtual total en Windows (física total + tamaño del archivo de paginación);
    
  • La cantidad máxima de memoria que el agent de Zabbix puede comprometer;
    
  • El límite actual de memoria comprometida para el sistema o el agent de Zabbix, el que sea menor.

Ejemplo:

vm.vmemory.size[pavailable] #devuelve la memoria virtual disponible, en porcentaje

wmi.get[<namespace>,<query>]

Ejecuta una consulta WMI y devuelve el primer objeto seleccionado.
Valor devuelto: Integer, float, string o text (dependiendo de la consulta).

Parámetros:

• namespace - el espacio de nombres WMI;
  
• query - la consulta WMI que devuelve un único objeto.

Las consultas WMI se realizan con WQL.

Ejemplo:

wmi.get[root\cimv2,select status from Win32_DiskDrive where Name like '%PHYSICALDRIVE0%'] #devuelve el estado del primer disco físico

wmi.getall[<namespace>,<query>]

Ejecuta una consulta WMI y devuelve toda la respuesta. Puede utilizarse para descubrimiento de bajo nivel.
Valor devuelto: objeto JSON

Parámetros:

• namespace - el espacio de nombres WMI;
  
• query - la consulta WMI.

Comentarios:

• Las consultas WMI se realizan con WQL.
• El preprocesamiento JSONPath puede utilizarse para señalar valores más específicos en el JSON devuelto.

Ejemplo:

wmi.getall[root\cimv2,select * from Win32_DiskDrive where Name like '%PHYSICALDRIVE%'] #devuelve información de estado de los discos físicos

Monitorización de servicios de Windows

Este tutorial proporciona instrucciones paso a paso para configurar la monitorización de servicios de Windows. Se asume que el server y el agent de Zabbix están configurados y en funcionamiento.

Paso 1

Obtenga el nombre del servicio.

Puede obtener el nombre del servicio accediendo al complemento Servicios de MMC y abriendo las propiedades del servicio. En la pestaña General debería ver un campo llamado "Nombre del servicio". El valor que sigue es el nombre que utilizará al configurar un item para su monitorización. Por ejemplo, si desea monitorizar el servicio "workstation", entonces su servicio podría ser: lanmanworkstation.

Paso 2

Configure un item para monitorizar el servicio.

El item service.info[service,<param>] recupera información sobre un servicio en particular. Dependiendo de la información que necesite, especifique la opción param, que acepta los siguientes valores: displayname, state, path, user, startup o description. El valor por defecto es state si no se especifica param (service.info[service]).

El tipo de valor de retorno depende del param elegido: entero para state y startup; cadena de caracteres para displayname, path y user; texto para description.

Ejemplo:

• Clave: service.info[lanmanworkstation]
• Tipo de información: Numérico (sin signo)

El item service.info[lanmanworkstation] recuperará información sobre el estado del servicio como un valor numérico. Para mapear un valor numérico a una representación de texto en el frontend ("0" como "Running", "1" como "Paused", etc.), puede configurar un mapeo de valores en el host en el que está configurado el item. Para ello, puede enlazar la template Windows services by Zabbix agent o Windows services by Zabbix agent active al host, o configurar en el host un nuevo mapeo de valores basado en el mapeo de valores Windows service state configurado en las plantillas mencionadas.

Tenga en cuenta que ambas plantillas mencionadas tienen una regla de descubrimiento configurada que descubrirá los servicios automáticamente. Si no desea esto, puede desactivar la regla de descubrimiento a nivel de host una vez que la template haya sido enlazada al host.

Descubrimiento de servicios de Windows

El descubrimiento de bajo nivel proporciona una forma de crear automáticamente items, triggers y gráficos para diferentes entidades en un equipo. Zabbix puede comenzar a monitorizar automáticamente los servicios de Windows en su máquina, sin necesidad de conocer el nombre exacto de un servicio o crear items para cada servicio manualmente. Se puede utilizar un filtro para generar items, triggers y gráficos reales solo para los servicios de interés.