Доброго дня, коллеги!
Требуется генерация события на каждую запись в журнале Windows и автоматическое закрытие по таймауту.
В настоящее время существует следующий триггер:
Имя:
Выражение:
Если установить "режим генерации событий ПРОБЛЕМА" множественный, то событие либо не закрывается по таймауту, либо генерируется множество одинаковых событий в зависимости от модификации триггера.
Подскажите, как исправить триггер, что бы получилось генерировать событие на каждую запись в журнале безопасности Windows и автоматически закрывать каждое событие отдельно по прошествии 10 минут.
В мониторинге хочется видеть не одно событие с каждого сервера, когда учётной записи не удалось выполнить вход в систему, а именно динамику роста этих событий с детализацией.
Заранее спасибо!
Требуется генерация события на каждую запись в журнале Windows и автоматическое закрытие по таймауту.
В настоящее время существует следующий триггер:
Имя:
Code:
Не удачный вход {{ITEM.VALUE}.regsub("(An account[^*]+[\r\n])This|(Учетной записи[^*]+[\r\n])Данное", "\1")} {{ITEM.VALUE}.regsub("(Учетной записи[^*]+[\r\n])Данное", "\1")}
Code:
({audit_log:eventlog[Security,,,,4625].logeventid(4625)}=1 and {audit_log:eventlog[Security,,,,4625].regexp(fThe user has not been granted the requested logon type at this machine)}=0 and {audit_log:eventlog[Security,,,,4625].regexp(An Error occured during Logon)}=0 and {audit_log:eventlog[Security,,,,4625].regexp(Account currently disabled)}=0 and {audit_log:eventlog[Security,,,,4625].regexp(В настоящее время учетная запись отключена)}=0) and {audit_log:eventlog[Security,,,,4625].nodata(600s)}=0
Подскажите, как исправить триггер, что бы получилось генерировать событие на каждую запись в журнале безопасности Windows и автоматически закрывать каждое событие отдельно по прошествии 10 минут.
В мониторинге хочется видеть не одно событие с каждого сервера, когда учётной записи не удалось выполнить вход в систему, а именно динамику роста этих событий с детализацией.
Заранее спасибо!
Comment