Überwachen von Windows-Ereignissen von Centreon

Ein ziemlich kurzer Beitrag, der meiner Meinung nach viele von uns interessieren könnte., Und es gibt nichts Gewöhnlicheres, als jedes Ereignis in der Windows-Ereignisanzeige überwachen zu können. Können Sie sich vorstellen, Domänencontrollerereignisse zu überwachen??

In der Lage sein, zu wissen, wann ein Benutzer erstellt wurde, geändert, eliminiert… Die UN-Gruppe, oder eine Organisationseinheit, oder ein Gruppenrichtlinienobjekt (Gruppenrichtlinie), oder was auch immer uns interessiert, gehen!

vorab, Zum Schnüffeln benötigen wir den NSClient-Agenten, der auf dem Windows-Computer installiert ist, Wenn Sie Fragen haben, dieser alte Beitrag kann dir ein Kabel geben. Und als Zweites müssen wir die ID des Ereignisses kennen, das wir lokalisieren möchten.

Es ist möglich, dass wir ein Sonderzeichen verwenden möchten (Wir werden es in einer Variablen verwenden), Wir müssen die Verwendung seltsamer Zeichen in der nsclient.ini zulassen; sowie die Verwendung von Argumenten, wenn man bedenkt, dass wir so etwas haben würden:

[/Einstellungen/NRPE/Server]
böse Zeichen zulassen=true
Argumente zulassen = wahr ... [/Einstellungen/externe Skripte]
Argumente zulassen = wahr böse Zeichen zulassen=true ...

Denken Sie daran, den NSClient-Dienst neu zu starten, wenn Sie die .ini ändern

danach, Ich gehe davon aus, dass wir den Befehl check_nrpe bereits in Centreon registriert haben, oder wir können einen anderen bei registrieren 2 Argumente, da der Befehl, den wir ausgeben werden, diesem Beispiel ähnelt:

/usr/lib/centreon/plugins/check_nrpe -2 -H IP_ADDRESS -t 30 -c checkEventLog -a file=security scan-range=-24h MaxCrit=1 "filter=id = 5136"  truncate=300 'top-syntax=${Status}. Sie wurden geändert ${zählen} Organisationseinheiten im AD in den letzten 24 Stunden

Wenn man genau hinschaut, Wir haben die Ereignis-ID angegeben 5136 was einer geänderten Organisationseinheit entspricht, Wir können die Zeit oder die Anzahl der Ereignisse angeben, die gelesen werden, sowie die Nachricht personalisieren, falls der Hase springt. Wir können mit MaxWarn oder MaxCrit spielen, um uns über die Anzahl der Ereignisse zu informieren.

Also passen wir den Befehl an und wir werden so etwas haben:

$CENTREONPLUGINS$/check_nrpe -2 -H $HOSTADRESSE$ -t 30 -c $ARG1$ -a $ARG2$

Gesamt, dass wir nun so viele Dienste erstellen können, wie es Veranstaltungen gibt, die wir betreuen möchten, In diesem Beispiel hätte der Dienst die folgenden zwei Argumente:

Befehl:

checkEventLog

Argument:

file=security scan-range=-24h MaxCrit=1 "filter=id = 5136"  truncate=300 'top-syntax=$${Status}. Sie wurden geändert $${zählen} Organisationseinheiten im AD in den letzten 24 Stunden

Wir speichern und exportieren die Konfiguration wie gewohnt…

Und wie Juan Tamariz sagen würde… Chan-ta-ta-chan!!! ole!!! Wir haben bereits einige Veranstaltungen von hier aus gesteuert, Wenn ein Domain-Team herauskommt, werden wir es herausfinden, oder ja, wenn der Domäne beigetreten ist, der Benutzer wechselt, Gruppe oder was auch immer, oder wenn sie erstellt werden, oder wenn sie gelöscht werden…

Ich überlasse es Ihnen, nachzudenken und nach den Ereignis-IDs zu suchen, deren Überwachung Sie am meisten interessiert., Ich schicke dir eine Umarmung, Habt eine tolle Woche und vor allem… sei glücklich!

Hector Herrero
Letzte Artikel von Hector Herrero (Alle anzeigen)