Monitoritzant Esdeveniments de Windows des de Centreon

Print Friendly, PDF i correu electrònic

Un post bastant rapidito que crec que ens pot interessar a molts, i no és una cosa més comuna que poder monitoritzar qualsevol esdeveniment del Visor d'Esdeveniments de Windows. Us imagineu vigilant els esdeveniments dels controladors de domini?

Pudiendo estar al tant cuando un Usuario se ha creado, modificado, eliminado… o un Grup, o una Unidad Organitzativa, o una GPO (directiva de grupo), o lo que nos interese vaya!

Per començar, necessitaremos l'agent NSClient instalado en la màquina Windows a curiose, si tienes dubtes, aquest post vell te puede echar un cable. Y lo segon sabrà el ID de l'esdeveniment que volem localitzar.

Es posible que si queremos usar algún carácter especial (lo usaremos en una variable), tengamos que tener en el nsclient.ini permitido el uso de caracteres extraños; así el uso de argumentos, teniendo en compte que nos quedaría algo así:

[/settings/NRPE/server]
allow nasty characters=true
allow arguments=true
...
[/settings/external scripts]
allow arguments=true
allow nasty characters=true
...

Acordaros de reiniciar el servei NSClient si es que modificáis el .ini

Després d'això, suposo que ja tenim donat d'alta el Comando de check_nrpe a Centreon, o podem donar d'alta un altre amb 2 arguments, ja que el comando que li tirarem és com aquest exemple:

/usr/lib/centreon/plugins/check_nrpe -2 -H DIRECCIO_IP -t 30 -c checkEventLog -a file=security scan-range=-24h MaxCrit=1 "filter=id = 5136"  truncate=300 'top-syntax=${estatus}. S'han modificat ${count} OUs a l'AD en les últimes 24h'

Si us fixeu bé, hem especificat l'ID d'esdeveniment 5136 que correspon a que una OU ha estat modificada, podem indicar el temps o la quantitat d'esdeveniments que llegirà, així com personalitzar el missatge en cas que salti l'alerta. Podrem jugar amb MaxWarn o MaxCrit per alertar-nos de la quantitat d'esdeveniments.

Així que adaptem el comando i ens quedarà alguna cosa com:

$CENTREONPLUGINS$/check_nrpe -2 -H $HOSTADDRESS$ -t 30 -c $ARG 1$ -a $ARG 2$

Total, que ya podremos crear tantos serveis como eventos queramos supervisar, en aquest exemple el servei tendría los dos siguientes Argumentos:

Comando:

checkEventLog

Argument:

file=security scan-range=-24h MaxCrit=1 "filter=id = 5136"  truncate=300 'top-syntax=$${estatus}. S'han modificat $${count} OUs a l'AD en les últimes 24h'

Grabamos y exportamos la configuración como hacemos de forma habitual…

Y como diría Juan Tamariz… chan-ta-ta-chan!!! ole!!! Ya tenemos algunos eventos controlados des d'aquí, si sale un equip de domini ens enteraremos, o si se une al dominio, o si se modifica un usuario, grupo o lo que sea, o si se crean, o si se borran…

Os dejo para que penséis y busquéis los IDs de eventos que más os interesen vigilar, us comandament una abraçada, que tengáis muy buena semana y sobre todo… ser felices!

Posts recomanats

Desplegant Crowdsec en una màquina Windows
Llegir
Mètriques de Windows amb Prometheus i Grafana
Llegir
Monitoritzant Tasques programades amb Centreon
Llegir
Monitoritzant Crowdsec amb Centreon
Llegir

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

SCAP Compliance Checker

12 de September de 2023

Firefly III - Gestor de finances personals

28 de September de 2023