Hello,
We use here a Zabbix 2.2.
We would like to receive an email every time someone fail or succeed to login on a Windows machine.
Today it works, but the email we receive is too detailed : it send us all the event details generated by windows (more than 2 pages of text...)
We would like to extract the important information from the item.value1 as :
login and (Failed or success)
We currently generate the email with this action template :
name : Test
Default subject : {TRIGGER.STATUS}: {TRIGGER.NAME}
Default message : {ITEM.VALUE1}
And we receive something like : (in french)
---------------
Échec d’ouverture de session d’un compte.
Sujet*:
ID de sécurité*: S-1-5-18
Nom du compte*: xxxx2136$
Domaine du compte*: xxxx01
ID d’ouverture de session*: 0x3e7
Type d’ouverture de session*: 7
Compte pour lequel l’ouverture de session a échoué*:
ID de sécurité*: S-1-0-0
Nom du compte*: xxxxxx
Domaine du compte*: xxxxx01
Informations sur l’échec*:
Raison de l’échec*: Nom d’utilisateur inconnu ou mot de passe incorrect.
État*: 0xc000006d
Sous-état*: 0xc000006a
Informations sur le processus*:
ID du processus de l’appelant*: 0x2a8
Nom du processus de l’appelant*: C:\Windows\System32\winlogon.exe
Informations sur le réseau*:
Nom de la station de travail*: xxxxx2136
Adresse du réseau source*: 127.0.0.1
Port source*: 0
Informations détaillées sur l’authentification*:
Processus d’ouverture de session*: User32
Package d’authentification*: Negotiate
Services en transit*: -
Nom du package (NTLM uniquement)*: -
Longueur de clé*: 0
Cet événement est généré lorsqu’une demande d’ouverture de session échoue. Il est généré sur l’ordinateur sur lequel l’accès a été tenté.
Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
Le champ Type d’ouverture de session indique le type d’ouverture de session qui a été demandé. Les types les plus courants sont 2 (interactif) et 3 (réseau).
Les champs relatifs aux informations sur le processus indiquent quel est le compte et le processus sur le système qui ont demandé l’ouverture de session.
Les champs relatifs aux informations sur le réseau indiquent la provenance de la demande d’ouverture de session distante. Le nom de la station de travail n’étant pas toujours disponible, peut rester vide dans certains cas.
Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Le nom du package indique quel a été le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
-------------------------
Is it possible to extract only the login and the result of the connection and to put those informations in the email subject ?
Thank's for your help/ideas.
Damien
We use here a Zabbix 2.2.
We would like to receive an email every time someone fail or succeed to login on a Windows machine.
Today it works, but the email we receive is too detailed : it send us all the event details generated by windows (more than 2 pages of text...)
We would like to extract the important information from the item.value1 as :
login and (Failed or success)
We currently generate the email with this action template :
name : Test
Default subject : {TRIGGER.STATUS}: {TRIGGER.NAME}
Default message : {ITEM.VALUE1}
And we receive something like : (in french)
---------------
Échec d’ouverture de session d’un compte.
Sujet*:
ID de sécurité*: S-1-5-18
Nom du compte*: xxxx2136$
Domaine du compte*: xxxx01
ID d’ouverture de session*: 0x3e7
Type d’ouverture de session*: 7
Compte pour lequel l’ouverture de session a échoué*:
ID de sécurité*: S-1-0-0
Nom du compte*: xxxxxx
Domaine du compte*: xxxxx01
Informations sur l’échec*:
Raison de l’échec*: Nom d’utilisateur inconnu ou mot de passe incorrect.
État*: 0xc000006d
Sous-état*: 0xc000006a
Informations sur le processus*:
ID du processus de l’appelant*: 0x2a8
Nom du processus de l’appelant*: C:\Windows\System32\winlogon.exe
Informations sur le réseau*:
Nom de la station de travail*: xxxxx2136
Adresse du réseau source*: 127.0.0.1
Port source*: 0
Informations détaillées sur l’authentification*:
Processus d’ouverture de session*: User32
Package d’authentification*: Negotiate
Services en transit*: -
Nom du package (NTLM uniquement)*: -
Longueur de clé*: 0
Cet événement est généré lorsqu’une demande d’ouverture de session échoue. Il est généré sur l’ordinateur sur lequel l’accès a été tenté.
Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.
Le champ Type d’ouverture de session indique le type d’ouverture de session qui a été demandé. Les types les plus courants sont 2 (interactif) et 3 (réseau).
Les champs relatifs aux informations sur le processus indiquent quel est le compte et le processus sur le système qui ont demandé l’ouverture de session.
Les champs relatifs aux informations sur le réseau indiquent la provenance de la demande d’ouverture de session distante. Le nom de la station de travail n’étant pas toujours disponible, peut rester vide dans certains cas.
Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Le nom du package indique quel a été le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
-------------------------
Is it possible to extract only the login and the result of the connection and to put those informations in the email subject ?
Thank's for your help/ideas.
Damien