Добрый день!
Необходимо настроить мониторинг событий входа и выхода админов в винду. За это отвечают события с ID 4672.
Я настроил Item c ключом:
eventlog[Security,@LogonType10,,,4672,300]
в результате в Zabbix попадают события примерно следующего содержания:
Можно ли настроить Item так чтоб туда попадало не все событие а только строка с именем пользователя и домена. В данном случае что было так:
А то очень не удобно просматривать такие "портянки"
Необходимо настроить мониторинг событий входа и выхода админов в винду. За это отвечают события с ID 4672.
Я настроил Item c ключом:
eventlog[Security,@LogonType10,,,4672,300]
в результате в Zabbix попадают события примерно следующего содержания:
Code:
Special privileges assigned to new logon. Subject: Security ID: S-1-5-21-2893185858-1901137394-2669452385-6899 Account Name: USERNAME Account Domain: DOMAIN Logon ID: 0x1cd7193c Privileges: SeSecurityPrivilege SeBackupPrivilege SeRestorePrivilege SeTakeOwnershipPrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeLoadDriverPrivilege SeImpersonatePrivilege
Code:
Account Name: USERNAME Account Domain: DOMAIN