Ad Widget

Collapse

Отслеживание входов в базу под пользоват

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • DNKolian
    Junior Member
    • Nov 2013
    • 29
    #1

    Отслеживание входов в базу под пользоват

    Народ подскажите.
    Есть MS SQL2008.
    Нужно чтобы заббикс агент реагиовал на вход в базу под пользователями с расширенными правами (sysadmin, owner и т.п.).
    Понимаю что тут основной вопрос скорей по самому SQL.
    зарание спасибо.
    Tags: None
    • rough-84
      Senior Member
      • Oct 2014
      • 198
      #2
      А какого ответа вы ждёте ?
      Думаю вам лучше обратится на форум SQL, за помощью в составлении запроса, который будет дергать нужные вам данные.
      Ну а в заббикс эти данные всегда можно перетащить через userparametr и скажем утилиту sqlcmd
      Я таскаю множество данных посредством различных запросов, как пример:
      UserParameter = name,sqlcmd -S Server -UUser -PPassword -h -1 -W -Q "Запрос"

        Comment

        • DNKolian
          Junior Member
          • Nov 2013
          • 29
          #3
          В общем сделал так.
          1.Натсроил лог успешных авторизаций в Eventlog

          2.В zabbix:
          Item
          Code:
          eventlog[Application,,,,1102|18454|4625|4720|4724|4725|4726|4731|4732|4733|4734|4735|4738|4781]
          И тригер
          Code:
          {Template SQL 2008 Windows Eventlog Security:eventlog[Application,,,,1102|18454|4625|4720|4724|4725|4726|4731|4732|4733|4734|4735|4738|4781].logeventid(18454)}=1 and {Template SQL 2008 Windows Eventlog Security:eventlog[Application,,,,1102|18454|4625|4720|4724|4725|4726|4731|4732|4733|4734|4735|4738|4781].nodata(5m)}=0
          Проблемма в том что мне нужно тригером фильтровать по хосту и имени юзера.


          Пример:
          Code:
          1. Application Log (Application) (sqlnode1.d.local:eventlog[Application,,,,1102|18454|4625|4720|4724|4725|4726|4731|4732|4733|4734|4735|4738|4781]): Успешно выполнен вход пользователя "sblselect" в систему. Соединение установлено с использованием проверки подлинности SQL Server. [CLIENT: 10.89.22.204] 2. Application Log (Application) (sqlnode1.d.local:eventlog[Application,,,,1102|18454|4625|4720|4724|4725|4726|4731|4732|4733|4734|4735|4738|4781]): Успешно выполнен вход пользователя "sblselect" в систему. Соединение установлено с использованием проверки подлинности SQL Server. [CLIENT: 10.89.22.204] 3. *UNKNOWN* (*UNKNOWN*:*UNKNOWN*): *UNKNOWN*

          Мне нужно только юзера SA и хосты все кроме 10.89.22.204 10.89.22.203

          Зарание спасибо.

            Comment

            • cancer_zern
              Member
              • Apr 2015
              • 36
              #4
              Попробуйте через regexp.

              Code:
              {DGHB Template Windows Eventlog English V2015-02-04:eventlog[System,,"Warning|Error|Critical",,,,skip].logseverity(0)}=4
and
{DGHB Template Windows Eventlog English V2015-02-04:eventlog[System,,"Warning|Error|Critical",,,,skip].nodata(300)}=0
and
{DGHB Template Windows Eventlog English V2015-02-04:eventlog[System,,"Warning|Error|Critical",,,,skip].regexp(.)}=1
              Zabbix:Template Windows Eventlog – znilwiki
              http://znil.net/index.php?title=Zabbix:Template_Windows_Eventlog

                Comment

                Previous template Next
                Working...