Делюсь полезным шаблоном для мониторинга счётчиков производительности Windows Server. Счётчиков производительности много, для примера в шаблон заведены четыре счётчика.
- \Security System-Wide Statistics\Kerberos Authentications
- \Security System-Wide Statistics\NTLM Authentications
- \Server\Files Open
- \Server\Logon/sec
Скачать шаблон для Zabbix 5:
https://files.internet-lab.ru/d/64e62de298ee46238530/
\Security System-Wide Statistics\Kerberos Authentications
Показывает количество аутентификаций по протоколу Kerberos в секунду. Основной протокол аутентификации в Active Directory. Рост может указывать на входы пользователей, запуск служб или сетевые подключения (например, net use). Если счетчик упал до нуля — возможно, проблемы с DC или билетами Kerberos.
\Security System-Wide Statistics\NTLM Authentications
Показывает количество аутентификаций по устаревшему протоколу NTLM в секунду (NTLMv1, NTLMv2). Высокие или растущие значения — признак того, что что-то (например, старый софт, сетевая папка по IP-адресу, принтер) не использует Kerberos. Это полезно для аудита безопасности, чтобы отключить NTLM в домене.
\Server\Files Open
Показывает текущее количество открытых файлов на сервере через сервис "Server" (SMB, общие папки/принтеры). Диагностика утечек ресурсов. Если значение постоянно растет, не возвращаясь к норме — процессы не закрывают файлы. Высокое стабильное значение может быть нормой для файлового сервера.
\Server\Logon/sec
Показывает скорость установки новых сессий (логинов) к серверу через службу Server. Это НЕ пользовательские интерактивные логины (RDP/консоль). Это сетевые логины к общим ресурсам (SMB, именованные каналы). Резкий всплеск + высокие "Files Open" = атака или утилита, сканирующая сеть. Позволяет выявить DoS или вирус-червь.
В шаблоне 2 приложения, 4 элемента данных, 4 триггера. Основные настройки для удобства вынесены в макросы.
По аналогии можно добавить и другие счётчики производительности.
