Ad Widget

Collapse

Мониторинг RDP Session (Users+IP)

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • Tech26platen
    Junior Member
    • Feb 2023
    • 3
    #1

    Мониторинг RDP Session (Users+IP)

    Добрый день, подскажите кто и как отлеживает RDP Сессии на пк в 2023 году? Шаблоны + Пош? Чтение евент лога + тригеры?
    Не могу найти годный рабочий способ, с помощью которого можно будет отследить Подключившихся RDP Пользователей, получить у них Имя и ip адрес, вывести в тригер, если пользователей logOut то закрытие тригера?
    Кто как реализовывается у себя, подскажите свои связки, если не жалко буду рад если кто-то поделиться
    Tags: None
    • orbital
      Senior Member
      • Dec 2019
      • 104
      #2
      Originally posted by Tech26platen
      Чтение евент лога + тригеры
      IP адрес у меня не выдает, не было нужды настроить. Триггеров нет. Все остальное да, логин время подкл/откл и график по количеству подключенных. Не помню где, взял гдето готовый шаблон и допилил под себя. Погугли, думаю найдешь.

        Comment

        • Tech26platen
          Junior Member
          • Feb 2023
          • 3
          #3
          Originally posted by orbital
          IP адрес у меня не выдает, не было нужды настроить. Триггеров нет. Все остальное да, логин время подкл/откл и график по количеству подключенных. Не помню где, взял гдето готовый шаблон и допилил под себя. Погугли, думаю найдешь.
          Мне нужно ip адрес, так же тригеры информации, чтоб было видно когда подключился когда отключился, не могу найти решение

            Comment

            • orbital
              Senior Member
              • Dec 2019
              • 104
              #4
              Originally posted by Tech26platen
              Мне нужно ip адрес
              Он же есть в логах, так же как и логин, берите оттуда.

                Comment

                • Hamardaban
                  Senior Member
                  Zabbix Certified SpecialistZabbix Certified Professional
                  • May 2019
                  • 2713
                  #5
                  Основная засада в озвученной задаче - это автозакрытие триггера (открытого LogOn) по LogOut (к стати есть и другие события кроме 21\22). По совпадению тегов для одного(!) триггера можно закрывать его же проблемы. Глобальная корреляция тоже немного не то....

                  Получить список подключенных к RDP пользователей просто:
                  Code:
                  system.run[query user | find /I "tcp"]
                  Там нет IP - но зато есть количество на момент! :-)
                  Получить из EventLog события 21 (22) тоже не трудно
                  Code:
                   eventlog[Microsoft-Windows-TerminalServices-LocalSessionManager/Operational,,,,21,,skip]
                  там же регуляркой и группами вытаскиваем сессию \ пользователя\ ip....

                  а вот сделать полноценную систему аккаунтинга руки (или мои мозги) не доходят....

                  PS
                  ворчание в сторону: а вообще-то заббикс не система аккаунтинга! там своя специфика... Конечно здОрово если бы можно было решать такие задачки не ковыряясь с "sla"....​
                    👍 1

                    Comment

                    • Tech26platen
                      Junior Member
                      • Feb 2023
                      • 3
                      #6
                      Originally posted by Hamardaban
                      Основная засада в озвученной задаче - это автозакрытие триггера (открытого LogOn) по LogOut (к стати есть и другие события кроме 21\22). По совпадению тегов для одного(!) триггера можно закрывать его же проблемы. Глобальная корреляция тоже немного не то.....​
                      Вот вот я о том же, в день происходит свыше 1к+ подключений не хочется плодить тригеры, хочется как-то иметь автозакрытие...
                      Вот есть шаблон на на другом форуме называется "Монитор внешнего входа Windows", но есть сложности требует доступ к командам "систем.рун[] для закрытия по ивентам 21\22, вот и хочется найти решение которые используется в массах сейчас на 2023 год...
                      Last edited by Tech26platen; 13-02-2023, 14:42.

                        Comment

                        • D.Frolov
                          Member
                          • Apr 2020
                          • 95
                          #7
                          Originally posted by Hamardaban
                          Основная засада в озвученной задаче - это автозакрытие триггера (открытого LogOn) по LogOut (к стати есть и другие события кроме 21\22). По совпадению тегов для одного(!) триггера можно закрывать его же проблемы. Глобальная корреляция тоже немного не то....

                          Получить список подключенных к RDP пользователей просто:
                          Code:
                          system.run[query user | find /I "tcp"]
                          Там нет IP - но зато есть количество на момент! :-)
                          Получить из EventLog события 21 (22) тоже не трудно
                          Code:
                           eventlog[Microsoft-Windows-TerminalServices-LocalSessionManager/Operational,,,,21,,skip]
                          там же регуляркой и группами вытаскиваем сессию \ пользователя\ ip....

                          а вот сделать полноценную систему аккаунтинга руки (или мои мозги) не доходят....

                          PS
                          ворчание в сторону: а вообще-то заббикс не система аккаунтинга! там своя специфика... Конечно здОрово если бы можно было решать такие задачки не ковыряясь с "sla"....
                          Тоже столкнулся с задачей, пока непонятно как сделать триггер...на глаз вроде все данные есть (для простоты 2 события 25,24)

                          Зашел
                          1. Есть ID события 25 - Успешное переподключение сеанса
                          2. Имя пользователя - WIN-9MSML\User4
                          3. Адрес сети источника: 199.199.254.26

                          Вышел
                          1. Есть ID события 24 - Сеанс был отключен
                          2. Имя пользователя - WIN-9MSML\User4
                          3. Адрес сети источника: 199.199.254.26

                          Упрошенная запись

                          25,WIN-9MSML\User4,199.199.254.26
                          24,WIN-9MSML\User4,199.199.254.26

                          Увидели строка 25, + прибавка сделали триггер
                          Увидели строку 24, + прибавка триггер закрыли

                          Ведь не может появится новая 25,WIN-9MSML\User4,199.199.254.26, если не было 24,WIN-9MSML\User4,199.199.254.26

                          Как это вообще в Zabbix реализуется "запомнить кусок", чтобы потом закрыть триггер?

                            Comment

                            • Kos
                              Senior Member
                              Zabbix Certified SpecialistZabbix Certified Professional
                              • Aug 2015
                              • 3404
                              #8
                              Originally posted by D.Frolov
                              Как это вообще в Zabbix реализуется "запомнить кусок", чтобы потом закрыть триггер?
                              Реализуется при помощи тегов - примерно так, как описано здесь (ссылка).

                                Comment

                                • D.Frolov
                                  Member
                                  • Apr 2020
                                  • 95
                                  #9
                                  Originally posted by Kos
                                  Реализуется при помощи тегов - примерно так, как описано здесь (ссылка).
                                  Спасибо, что направили. Как вариант тоже самое получается, если создать несколько элементов данных и каждый под своего пользователя.

                                    Comment

                                    • D.Frolov
                                      Member
                                      • Apr 2020
                                      • 95
                                      #10
                                      Originally posted by Kos
                                      Реализуется при помощи тегов - примерно так, как описано здесь (ссылка).
                                      А подскажите еще такой момент

                                      1. Пока иду ни по пути тегирования, а по пути создания на каждого пользователя своего элемента данных (но сути вопроса не меняет)
                                      2. Вот так выглядит элемент данных eventlog[Microsoft-Windows-TerminalServices-LocalSessionManager/Operational,{$USER1},,,^(21|22|23|24|25)$,,skip], где USER1 - макрос, который прописывается на уровне хоста и ему присваивается значение пользователя
                                      3. В строке 2 - Берем лог, фильтруем по пользователю его, фильтруем по eventid, кладем это в zabbix (справка - eventlog[имя,<регулярное выражение>,<важность>,<источник>,<eventid>,<макс. кол-во строк>,<режим>])
                                      4. Внутри все работает, выглядит вот так (см скриншот - screenRDP)
                                      5. Делаю триггер -
                                      logeventid(/0.041 RDP-Session/eventlog[Microsoft-Windows-TerminalServices-LocalSessionManager/Operational,{$USER1},,,^(21|22|23|24|25)$,,skip])=25
                                      + (см скриншот logeventid) НЕ РАБОТАЕТ
                                      Почему не работает, вроде все просто и должно работать?

                                      Attached Files

                                        Comment

                                        • D.Frolov
                                          #10.1
                                          D.Frolov commented
                                          03-02-2025, 23:36
                                          Editing a comment
                                          Вопрос снимается, я не записал регулярное выражение.
                                        Previous template Next
                                        Working...