Мониторинг и оповещение о событиях в журналах Windows: отправка на E-mail в Windows Server 2012 R2

[navion]

При всем при этом — если скрипт PowerShell запустить в PowerShell ISE «as Administrator», то приходит полное сообщение, как и было задумано!

Что мешает выполнять задание с повышенными привелегиями, если проблема в них?

[VFedorV]

Ничего не мешает, — так задание и выполняется… Дело видать не совсем в них, выяснить в чем именно не удалось :(

[Deks]

На самом деле проще разбирать виндовое событие по подстрокам. Я об этом вскользь упомянул в статье про мониторинг ад, короткую вы указали выше. Выборка по подстрокам имеет более читабельный код.
С хмл сложнее, т.к. слишком много служебных символов — велика вероятность ошибки в коде.
Попробуйте использовать подстроки и у вас все получиться:)

[VFedorV]

хм, — ничего не пони :) можете на конкретном примере, для Task Scheduler создать задание с необходимыми параметрами? думаю многие будут Вам благодарны, — я в первую очередь :) хотя бы в Вашу статью…

[Deks]

Пожалуй вы правы. Напишу ещё статьи, как логическое продолжение предыдущих. Займусь на этой неделе. Думаю к концу недели сделаю.
Постараюсь там более подробно все описать.

[ildarz]

приведенные выше скрипты отсылали на E-mail только заголовки (темы) событий, тело письма было пустым

Пайплайн — это здорово, но плохо читабельно и плохо поддается отладке. В вашей ситуации я бы разбил код формирования $body на несколько строк и делал бы отладочный вывод в текстовый файл, чтобы понять, на каком этапе косяк.

выборка событий с Event ID 4726

Ужасный способ. Нет никакой гарантии, что вы выберете из лога именно то событие, на которое выскочил триггер. Искать надо по параметру EventRecordID (уникальный номер события в логе) — подробнее, например, тут.

[VFedorV]

спасибо за интересную информацию, попробую и этот способ

[fleaump]

1. Если есть exchange, то ничего придумывать не надо, отправка мыла работает по умолчанию.

2. Системы мониторинга, тот же zabbix может снимать логи с винды из коробки(Item->zabbix active= eventlog[«Security»] ), и уже на нем накручивай какие хочешь триггеры на события|коды событий, а уж оповещалки и на мыло, и на телефон через тот же pushbullet, и даже через sip позвонить голосом, а так же градация по важности. И не надо городить велосипеды с тем что с разного оборудования одни алерты как то клеить, с других осей третьи свистелки оповещалки.

Лень двигатель прогресса.

[ildarz]

Причем тут Exchange, и как он связан с «отправкой мыла по умолчанию»?

[fleaump]

sendemail.exe

[fleaump]

про то как слать через powershell

$EmailFrom = «server@mail.local»
$EmailTo = «some@mail.local»
$Subject = «Subject theme»
$Body = «Hello»
$SMTPServer = «mail-srv»
$SMTPClient = New-Object Net.Mail.SmtpClient($SmtpServer, 25)
###Если надо акредитоваться
###$SMTPClient.Credentials = New-Object System.Net.NetworkCredential(“usr”, “pass”);
$SMTPClient.Send($EmailFrom, $EmailTo, $Subject, $Body)

Но лучше не страдать ерундой, а делать оповещения через централизованный мониторинг.

[VFedorV]

а Zabbix умеет забирать другие журналы, кроме «Security» — была задачка забирать логи Kaspersky Endpoint Security, который пишет в свой собственный журнал… решили с помощью SolarWinds Event Log Forwarder for Windows. Тот же Snare не смогли заставить этот журнал забирать!

[fleaump]

Любой журнал, любое событие забирать, а на своей стороне потом уже вешать обрабочик с регуляркой или счетчиком для обработки, в край можно через внешний скрипт обрабатывать(хоть через питон пропускай, хоть через php, хоть через brainfuck).

А то что с журнал(channel) не мог читать — прав не хватает агенту, или не правильно вписали имя канала.

www.zabbix.com/documentation/2.0/ru/manual/config/items/itemtypes/zabbix_agent/win_keys

[ildarz]

<дубль, удалено>

[ChiefPilot]

А не подскажет ли кто-нибудь, кому не трудно, актуальные номера событий, за которыми стоит следить? Где бы про это почитать? А то они, такое ощущение, постоянно меняются от версии к версии (Server 2003, 2008, 2012...)

[VFedorV]

да, есть такое предположение :) я всего лишь пару Event ID вычислил (сам генерил события), которые мне нужны были…

[ildarz]

Ну товарищи, а RTFM? По запросу в гугле «microsoft windows <версия> security events» сходу выдает ссылки на сайт MS (статьи в Knowledge base или таблицы с описанием событий). Номера менялись при переходе от 2003 к 2008, в 2012 остались те же.