Ad Widget

**yukra** · 24-07-2014, 23:32

Originally posted by Nassz

Помогите разобраться, настроен мониторинг логов Брандмауєра Win 2008R2, zabbix agent 2.2.5 но вот проблема :
Из списка исключений брандмауэра Windows удалено правило.

Удаленное правило:
ИД правила: {3C3466C8-68B0-48FE-BDA1-A7748A5E88CA}
Имя правила: 123
Изменивший пользователь: S-1-5-21-3545410972-1768734982-3125686782-1013
Изменившее приложение: C:\Windows\System32\mmc.exe

как заставить отображать адекватно пользователя? что бы можно было настроить тригеры по пользователю?

попробуйте посмотреть в сторону заполнения пользовательских макросов через апи скриптом. Узнать как соотнести имя пользователя и uuid можно в тех. поддержке вашей ОС

**Nassz** · 25-07-2014, 14:33

соотнести имя можно через reg query "HKU\S-1-5-21-1774974009-16243197-1102438210-1004\Volatile Environment" /v USERNAME

но как это втолкнуть в Заббикс Агент и передать на Заббикс сервер

**Zentarim** · 25-07-2014, 19:24

Originally posted by Nassz

соотнести имя можно через reg query "HKU\S-1-5-21-1774974009-16243197-1102438210-1004\Volatile Environment" /v USERNAME

но как это втолкнуть в Заббикс Агент и передать на Заббикс сервер

Если это можно вытащить их консоли, значит это можно запихнуть в UserParameter.

**Nassz** · 25-07-2014, 23:05

ну толи у вас Актив чек толи у вас выгребная яма через кучу скриптов + еще ПАВЕР ШЕЛЛ ибо я не нашел способа тянуть Ивент лог через cmd.

**Zentarim** · 26-07-2014, 08:34

Вы хотя бы элемент данных показали что ли. А то непонятно, что и как вы берете.

**Nassz** · 26-07-2014, 11:27

Key :
eventlog[Microsoft-Windows-Windows Firewall With Advanced Security/Firewall,,,,2004|2005|2006]

Response:

Microsoft-Windows-Windows Firewall With Advanced Security Information 2006 Из списка исключений брандмауэра Windows удалено правило.

Удаленное правило:
ИД правила: {3C3466C8-68B0-48FE-BDA1-A7748A5E88CA}
Имя правила: 123
Изменивший пользователь: S-1-5-21-3545410972-1768734982-3125686782-1013
Изменившее приложение: C:\Windows\System32\mmc.exe

**Zentarim** · 26-07-2014, 13:16

Если без костылей, то на ум приходит только "преобразование значений", но я не уверен, что в вашем случае оно вообще сработает

**Nassz** · 26-07-2014, 16:26

так это только единичный случай у меня? или же можно писать баг репорт ?

**yukra** · 27-07-2014, 21:42

Originally posted by nassz

или же можно писать баг репорт ?

Ага, в майкрософт.

**Nassz** · 28-07-2014, 09:08

почему же ? заббикс выбирает из ДЕТЕИЛ отчета на сколько я понял, в уменьшенном варианте (в обычном просмотре )Венда показывает имя пользователя нормально ! посему это в заббикс агенте библиотека winevt шалит ....

**yukra** · 28-07-2014, 15:45

Originally posted by Nassz

почему же ? заббикс выбирает из ДЕТЕИЛ отчета на сколько я понял, в уменьшенном варианте (в обычном просмотре )Венда показывает имя пользователя нормально ! посему это в заббикс агенте библиотека winevt шалит ....

Система оперирует с SID'ами учетных записей, а не их именами. В контроле доступа пользователей к защищаемым объектам (файлам, ключам реестра и т.п.) участвуют также только SID'ы.

Идентификатор безопасности — Википедия

http://ru.wikipedia.org/wiki/%D0%98%D0%B4%D0%B5%D0%BD%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%D0%BE%D1%80_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8

А вот тут подробней рассказывается зачем оно и почему так: http://technet.microsoft.com/en-us/l.../cc961625.aspx

Windows нигде не оперирует понятием "имя пользователя", кроме как в графическом интерфейсе. В логи пишутся именно SID или GUID пользователей. Заббикс показывает то, что написано в лог. Всем спасибо, ваша проблема в том, что вы не разбираетесь в используемой Вами ОС.

**Nassz** · 28-07-2014, 18:44

я все понимаю, как устроена Вин система и то что в логе пишется ИД юзеря , но когда у тебя 3 десятка виндовсов лезть и смотреть какой там пользователь что учудил, особенно если ты в полях.. Посему и возник вопрос как преобразовать Юиид в Пользоваетля! Рег квери я написал выше - этот запрос отображает имя пользователя, но как его внести в ЛОГ либо скармливать заббиксу? я не программист, простите !
Вот еще один вариант преобразования для повер шела :
$SID = (new-object security.principal.securityidentifier S-1-5-21-4109469096-2014522799-875564729-1000).translate([security.principal.ntaccount])

**Zentarim** · 28-07-2014, 19:45

Если лог в текстовом файле - могу только посоветовать большой костыль:
Раз в минуту запускайте скрипт, который будет парсить ваш лог и скидывать в другой лог-файл имя пользователя ( которое вы узнаете через reg query ), ID правила ну и еще что-то вам нужное. Соответственно скармливать агенту вы будете уже собранный таким образом файл. Скрипт пишется либо на bat (в его возможностях я не уверен), либо на unixutils+gawk.

Еще раз повторяю - это костыль. БОЛЬШОЙ костыль.

Ad Widget

Windows Event Log

Windows Event Log

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment