Ad Widget

**Roman_34rf232rtgf** · 02-03-2021, 16:58

Помогите пожалуста советом!

**Roman_34rf232rtgf** · 02-03-2021, 17:02

**Roman_34rf232rtgf** · 02-03-2021, 17:03

**Roman_34rf232rtgf** · 02-03-2021, 17:03

**Semiadmin** · 02-03-2021, 17:41

Подсказка: чтобы триггер закрылся, нужно, чтобы Problem expression было ложным, а Recovery expression, если оно есть, истинным. В вашем случае Problem expression остается истинным.

**Kos** · 02-03-2021, 18:20

Например, сделать один элемент данных, в который бы попадали события и с eventid, равным 208, и 209 (и никакие другие):

Code:

{AuditUSR:eventlog[Application,,,,"(208|209)",,skip]

И уже на него навешивать триггер. Тогда даже recovery expression не понадобится, ибо если не 209, то только 208.
Только для подстраховки было бы неплохо указать и другие поля - как минимум, source: чтобы случайно сообщение с тем же ID, но от совершенно другого источника не поломало бы вам эту схему.

**Roman_34rf232rtgf** · 03-03-2021, 00:35

Попытаюсь объяснить цель.
Есть несколько десятков windows серверов, без active directory.

Есть 5 пользователей, каждый из них имеет разные (для каждого сервера ) логины.

Нужно организовать аудит входа/выхода из системы для каждого из пяти етих пользователей.

Создал логон/логаут скрипты , каторие создают уникальные собития в eventviever.
Zabbix будет мониторить их и в каждый из 5-ти чатов телеграма (для каждого пользователя отдельный чат) например будет отправлять сообщение :

Вход на {hostname}

Выход из {hostname}
Продолжительность: {EVENT.AGE}

Спасибо

**Alex_UUU** · 03-03-2021, 09:29

Посмотри в сторону Корреляции. Там пофигу на сервера. Т.е. закрытие событий можно сделать по имени и тегам без привязки с конкретному серверу.

**Roman_34rf232rtgf** · 03-03-2021, 19:18

Быть может я снова придумываю велосипед.
Может есть что-то попроще?

**Kos** · 04-03-2021, 09:19

Originally posted by Roman_34rf232rtgf

Быть может я снова придумываю велосипед.
Может есть что-то попроще?

Я вам предложил один вариант. Правда, это было ещё до того, как Вы сказали, что Вас интересуют данные по конкретным пользователям. Тогда надо дополниить этот вариант данными о пользователях: нужно, чттобы в сообщении присутствовало имя пользователя, и через макрофункции извлекать эти имена в триггерные теги, по совпадению которых и закрывать проблему.

**Roman_34rf232rtgf** · 04-03-2021, 14:52

Событие с ID 208 должно заставить сработать триггер, а событие с ID 209 должно вернуть ОК.

Где я ошибся, нужен совет.

Я здаюсь ;(

**Roman_34rf232rtgf** · 04-03-2021, 16:27

Originally posted by Alex_UUU

Посмотри в сторону Корреляции. Там пофигу на сервера. Т.е. закрытие событий можно сделать по имени и тегам без привязки с конкретному серверу.

ок. спасибо! пошел учить корреляцию.

Ad Widget

Мониторинг журналов Windows. Генерация собития "ОК"

Мониторинг журналов Windows. Генерация собития "ОК"

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment