Monitorizando Eventos de Windows desde Centreon

Print Friendly, PDF & Email

Un post bastante rapidito que creo que nos puede interesar a muchos, y no es algo más común que poder monitorizar cualquier evento del Visor de Eventos de Windows. ¿Os imagináis vigilando los eventos de los controladores de dominio?

Pudiendo estar al tanto cuando un Usuario se ha creado, modificado, eliminado… o un Grupo, o una Unidad Organizativa, o una GPO (directiva de grupo), o lo que nos interese vaya!

Para empezar, necesitaremos el agente NSClient instalado en la máquina Windows a curiosear, si tienes dudas, este post viejo te puede echar un cable. Y lo segundo será saber el ID de evento que queremos localizar.

Es posible que si queremos usar algún carácter especial (lo usaremos en una variable), tengamos que tener en el nsclient.ini permitido el uso de caracteres extraños; así cómo el uso de argumentos, teniendo en cuenta que nos quedaría algo así:

[/settings/NRPE/server]
allow nasty characters=true
allow arguments=true ... [/settings/external scripts]
allow arguments=true allow nasty characters=true ...

 

Acordaros de reiniciar el servicio NSClient si es que modificáis el .ini

 

Tras ello, supongo que el Comando de check_nrpe lo tenemos ya dado de alta en Centreon, o podemos dar de alta otro con 2 argumentos, ya que el comando que vamos a tirarle es como este ejemplo:

/usr/lib/centreon/plugins/check_nrpe -2 -H DIRECCION_IP -t 30 -c checkEventLog -a file=security scan-range=-24h MaxCrit=1 "filter=id = 5136"  truncate=300 'top-syntax=${status}. Se han modificado ${count} OUs en el AD en las ultimas 24h'

 

Si os fijáis bien, hemos especificado el ID de evento 5136 que corresponde a que una OU ha sido modificada, podemos indicar el tiempo o la cantidad de eventos que leerá, así como personalizar el mensaje en caso que salte la liebre. Podremos jugar con MaxWarn o MaxCrit para alertarnos de la cantidad de eventos.

 

Así que adaptamos el comando y nos quedará algo como:

$CENTREONPLUGINS$/check_nrpe -2 -H $HOSTADDRESS$ -t 30 -c $ARG1$ -a $ARG2$

 

 

Total, que ya podremos crear tantos servicios como eventos queramos supervisar, en este ejemplo el servicio tendría los dos siguientes Argumentos:

Comando:

checkEventLog

 

Argumento:

file=security scan-range=-24h MaxCrit=1 "filter=id = 5136"  truncate=300 'top-syntax=$${status}. Se han modificado $${count} OUs en el AD en las ultimas 24h'

 

Grabamos y exportamos la configuración como hacemos de forma habitual…

 

Y como diría Juan Tamariz… chan-ta-ta-chan!!! ole!!! Ya tenemos algunos eventos controlados desde aquí, si sale un equipo de dominio nos enteraremos, o si se une al dominio, o si se modifica un usuario, grupo o lo que sea, o si se crean, o si se borran…

Os dejo para que penséis y busquéis los IDs de eventos que más os interesen monitorizar, os mando un abrazo, que tengáis muy buena semana y sobre todo… ¡ser felices!

 

Posts recomendados

Autor

nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir ;) . Disfrutar de los documentos!!!

SCAP Compliance Checker

12 de septiembre de 2023