Ad Widget

**Hamardaban** · 25-11-2020, 14:25

А в этих записях в журнале Windows есть имя пользователя? в теле сообщения?
Если нет - то вы их не получите в забиксе.

**fittim** · 25-11-2020, 14:35

Спасибо за ответ. Вот здесь Пользователь System поле которое мне нужно. Я не знаю являеется ли оно телом лога, но я бы хотел его вытащить в мониторинг.

**Hamardaban** · 25-11-2020, 14:46

Нет, это не «тело» лога. Оно там где на вашем скриншоте Product и далее.
при обработке виндового лога агент забирает еще <severity>,<source>,<eventid> и всё ( насколько я знаю). Никаких имен пользователей.

**Whols** · 25-11-2020, 15:19

Имена пользователей через eventlog, помнится, я получал. Посмотрите, что у вас прилетает в Latest Data по этому хосту.

**nullemotion** · 26-11-2020, 07:28

Если очень хочется данных по пользователю, можно настроить zabbix_sender на стороне хоста: в планировщике создаётся задача, срабатывающая при появлении в журнале приложений события с кодом 11707 и запускающая, например, такой powershell скрипт:

Code:

$event = ([xml](Get-WinEvent -FilterHashTable @{LogName="Application";id=11707} -MaxEvents 1).ToXml()).Event
$data = $event.Eventdata.data[0]
$SID = $event.System.Security.UserID
$name = (Get-WmiObject -query "SELECT * FROM Win32_Account WHERE SID='$SID'").Name
$message = $name + ": $data"
путь к сендеру\zabbix_sender.exe -z ZabbixServer -s "Host" -k events.applications -o $message

**Whols** · 26-11-2020, 10:17

Да зачем городить - ВСЯ информация в eventlog попадает. Т.е. то, что видно в журнале, все прилетает в поле элемента данных. Нужно только через регулярное выражение отфильтровать по шаблону "Имя учетной записи:". Первое значение будет для ПК, второе для пользователя.

**Whols** · 26-11-2020, 10:33

Причем, там столько откровенного спама, что _обязательно_ надо включать предобработку ЭД. Это все сильно раздувает базу данных. В предобработке - регулярное выражение: <первая строка>, "Имя учетной записи:"<вся строка>, "Домен учетной записи:"<вся строка>,"Имя учетной записи:"<вся строка>. Вывод соответственно: \1 \2 \3 \4.
-
P.S. Попросите перевести в RegEXP выражение шаблона - не помню синтаксис.

**Hamardaban** · 26-11-2020, 11:12

Утверждаю, что "прилетают" и в базу пишутся вот такие поля: itemid | clock | timestamp | source | severity | value | logeventid |
Среди них нет выделенного поля Пользователь или Учетка и т.п.
Поэтому еще раз пишу - разбирать регексами и вообще что-то извлекать можно только тогда, когда в Описании события (поле value) есть нужные данные по пользователю
Так что если система или программа не пишет в поле описания события в журнале windows имя установщика - выего в забиксе не получите..

**Whols** · 26-11-2020, 11:18

**Whols** · 26-11-2020, 11:20

В поле VALUE все данные и падают.

**Hamardaban** · 26-11-2020, 11:22

Это у вас такое событие, в котором в описании ЕСТЬ нужные данные.
А у человека - другие события, в описании которых НЕТ нужных ему данных. Винда или ПО туда не записала!
и он хочет получить еще один атрибут события (пользователь) который есть в журнале винды но в забикс не передается.

**Whols** · 26-11-2020, 11:38

Он же скрин привел. Там есть все, что нужно. Но тут гадать можно долго, пока не получим Latest Data с его элемента.

**Hamardaban** · 26-11-2020, 11:56

Для понимания и закрытия вопроса

**Whols** · 26-11-2020, 12:33

Да, Вы правы - попадает только сообщение из раздела Общие. Ну, тогда только PoSh.

Ad Widget

Мониторинг логов установки/удаления программ.

Мониторинг логов установки/удаления программ.

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment