Comments 17
При всем при этом — если скрипт PowerShell запустить в PowerShell ISE «as Administrator», то приходит полное сообщение, как и было задумано!
Что мешает выполнять задание с повышенными привелегиями, если проблема в них?
0
На самом деле проще разбирать виндовое событие по подстрокам. Я об этом вскользь упомянул в статье про мониторинг ад, короткую вы указали выше. Выборка по подстрокам имеет более читабельный код.
С хмл сложнее, т.к. слишком много служебных символов — велика вероятность ошибки в коде.
Попробуйте использовать подстроки и у вас все получиться:)
С хмл сложнее, т.к. слишком много служебных символов — велика вероятность ошибки в коде.
Попробуйте использовать подстроки и у вас все получиться:)
0
хм, — ничего не пони :) можете на конкретном примере, для Task Scheduler создать задание с необходимыми параметрами? думаю многие будут Вам благодарны, — я в первую очередь :) хотя бы в Вашу статью…
0
приведенные выше скрипты отсылали на E-mail только заголовки (темы) событий, тело письма было пустым
Пайплайн — это здорово, но плохо читабельно и плохо поддается отладке. В вашей ситуации я бы разбил код формирования $body на несколько строк и делал бы отладочный вывод в текстовый файл, чтобы понять, на каком этапе косяк.
выборка событий с Event ID 4726
Ужасный способ. Нет никакой гарантии, что вы выберете из лога именно то событие, на которое выскочил триггер. Искать надо по параметру EventRecordID (уникальный номер события в логе) — подробнее, например, тут.
0
1. Если есть exchange, то ничего придумывать не надо, отправка мыла работает по умолчанию.
2. Системы мониторинга, тот же zabbix может снимать логи с винды из коробки(Item->zabbix active= eventlog[«Security»] ), и уже на нем накручивай какие хочешь триггеры на события|коды событий, а уж оповещалки и на мыло, и на телефон через тот же pushbullet, и даже через sip позвонить голосом, а так же градация по важности. И не надо городить велосипеды с тем что с разного оборудования одни алерты как то клеить, с других осей третьи свистелки оповещалки.
Лень двигатель прогресса.
2. Системы мониторинга, тот же zabbix может снимать логи с винды из коробки(Item->zabbix active= eventlog[«Security»] ), и уже на нем накручивай какие хочешь триггеры на события|коды событий, а уж оповещалки и на мыло, и на телефон через тот же pushbullet, и даже через sip позвонить голосом, а так же градация по важности. И не надо городить велосипеды с тем что с разного оборудования одни алерты как то клеить, с других осей третьи свистелки оповещалки.
Лень двигатель прогресса.
0
Причем тут Exchange, и как он связан с «отправкой мыла по умолчанию»?
0
sendemail.exe
0
про то как слать через powershell
Но лучше не страдать ерундой, а делать оповещения через централизованный мониторинг.
$EmailFrom = «server@mail.local»
$EmailTo = «some@mail.local»
$Subject = «Subject theme»
$Body = «Hello»
$SMTPServer = «mail-srv»
$SMTPClient = New-Object Net.Mail.SmtpClient($SmtpServer, 25)
###Если надо акредитоваться
###$SMTPClient.Credentials = New-Object System.Net.NetworkCredential(“usr”, “pass”);
$SMTPClient.Send($EmailFrom, $EmailTo, $Subject, $Body)
Но лучше не страдать ерундой, а делать оповещения через централизованный мониторинг.
0
а Zabbix умеет забирать другие журналы, кроме «Security» — была задачка забирать логи Kaspersky Endpoint Security, который пишет в свой собственный журнал… решили с помощью SolarWinds Event Log Forwarder for Windows. Тот же Snare не смогли заставить этот журнал забирать!
0
Любой журнал, любое событие забирать, а на своей стороне потом уже вешать обрабочик с регуляркой или счетчиком для обработки, в край можно через внешний скрипт обрабатывать(хоть через питон пропускай, хоть через php, хоть через brainfuck).
А то что с журнал(channel) не мог читать — прав не хватает агенту, или не правильно вписали имя канала.
www.zabbix.com/documentation/2.0/ru/manual/config/items/itemtypes/zabbix_agent/win_keys
А то что с журнал(channel) не мог читать — прав не хватает агенту, или не правильно вписали имя канала.
www.zabbix.com/documentation/2.0/ru/manual/config/items/itemtypes/zabbix_agent/win_keys
0
<дубль, удалено>
0
А не подскажет ли кто-нибудь, кому не трудно, актуальные номера событий, за которыми стоит следить? Где бы про это почитать? А то они, такое ощущение, постоянно меняются от версии к версии (Server 2003, 2008, 2012...)
0
да, есть такое предположение :) я всего лишь пару Event ID вычислил (сам генерил события), которые мне нужны были…
0
Sign up to leave a comment.
Мониторинг и оповещение о событиях в журналах Windows: отправка на E-mail в Windows Server 2012 R2