Win-Server Plugin funktioniert nicht

Hallo,
ich habe heute das aktuelle log4j Plugin in Betrieb genommen.
https://exchange.checkmk.com/p/cve-2021-44228-log4j
Läuft 1a unter Linux und Win10 aber auf Windows-Servern wird der check nicht erkannt.
Ich bin mit Win-Servern nicht näher vertraut. Gibt es da ggf. Regeln die man anpassen muss damit solche Plugins für checkmk laufen?
Per Hand kann das Script ohne Probleme auf jedem der Server gestartet werden.
Gruß

Irgend eine Fehlermeldung im Agent Log?
Was für Serversysteme sind betroffen?

Hallo,
die Kollegen aus der Win-Gruppe habe es auf Win2012 Server eingegrenzt.
Auf aktuellen Systemen sind die checks jetzt angekommen.
Ich schaue mir das morgen früh noch an; muss eh die Hotline besetzten.
Gruß

was kommt hier raus? (bitte in admin shell starten)

c:\> powershell.exe -NoLogo -NoProfile -ExecutionPolicy Bypass -File "C:\ProgramData\checkmk\agent\plugins\cve_2021_44228_log4j.ps1"

Habe die Logfiles gerade noch angefordert.

Habe die Info weiter gegeben und die warte auf eine Rückmeldung.

Unter Windows 10 (21H2) bekomme ich den Agent nicht mittels Bakery verteilt/aktiviert.

Bei Linux klappt es mit dem verteilen und wird es empfohlen diese beiden markierten Optionen zu aktivieren bzw. danach zu suchen? Wie sieht es von den anderen Optionen unter Linux & Windows aus ← was wird da empfohlen?

Windows

Kann man irgendwo den Namen vom Services noch anpassen damit die Kollegen es besser einordnen können?

MfG Paul

Wie sieht deine bakery Regel dafür aus, siehst du in der Bakery nach dem “baken” das der Agent für die Win10 Systeme das Plugin enthält? Sieht bei mir dann ungefähr so aus

Denke mal das hängt von deiner konkreten Umgebung ab. Z.B. macht Syslog Reporting sinn wenn du die Treffer zentral einsammeln willst. Gibt es Verzeichnisse die du nicht scannen willst (Netzwrk mounts die schon wonaders gescannt werden), brauchst du deine Rports als CSV/JSON? Wie oft willst du scannen (Cache time), braucht der Scanner länger als 5 Minuten (Scanner timeout). etc…

Welchen Namen meinst du? den vom Service? Ist nicht konfigurierbar (zumindest nicht im plugin). Kannst du im Agent Plugin anpassen.

in ~/lib/check_mk/base/plugins/agent_based/cve_2021_44228_log4j.py die Zeile service_name='CVE-2021-44228-log4j',

register.check_plugin(
    name='cve_2021_44228_log4j',
    service_name='CVE-2021-44228-log4j',
    discovery_function=discovery_cve_2021_44228_log4j,

oder im WATO über eine Translation of service descriptions rule einrichten (THX @Doc)

Habe den Service Check über Translation umbenannt.

Was das ausrollen betrifft sieht mein Regelwerk wie folgt aus.

Das Agentpaket für den Windows Client hat folgende Einstellungen

Auf einem Server 2016 klappt es dagegen ohne Probleme.

MfG Paul

Hi Paul,

sieht für mich so aus als wenn bei den Regeln keine Bedingingen dran sind, welche Regel für welche Hosts geifen soll. Bei mir sieht das so aus:

Erste Regel greift für alle Linux Hosts, wie zeite für alle Windows Hosts.

Das siehst du dann auch in deiner Bakery, da hängt die Regel für Linux dran

zum Testen kannst du auch eine explizite Regel für einen Windows Server erstellen (explicit hosts in den conditions der Regel), da dann die einstellungen für Windows machen.

Die Regel sollte dann vor deinen beiden jetzigen Regeln stehen.

Du hast vollkommen Recht mit deiner Annahme und ich war wohl Blind.
Bei dem CheckMK System in der Firma habe ich es richtig gemacht aber zu Hause nicht :roll_eyes:

besser als anders herum :wink:

Wie kann ich denn den Scanner so einstellen das nur einmal am Tag oder maximal 2mal gescannt wird?
Einige Admins melden das der Scanner auf den Windows Servern so 6-15% der CPU einnimmt.
War das mit dem Cache lösbar?

image

MfG Paul

Ja, damit stellst du ein in welchem Intervall das plugin läuft, im default 86400s also einmal am Tag.

Ich habe jetzt feststellen müssen das auf einigen Servern der Service Check nicht erkannt wird.
Die Verteilung über die Bakery ist korrekt und stimmt auch bei den anderen Mitglieder eines Pakets.

Links: System bei dem alles passt | Rechts: System bei dem der Check fehlt.
Pfads: c:\ProgramData\checkmk\agent\plugins

c:\ProgramData\checkmk\agent\bin

c:\ProgramData\checkmk\agent\config

Ich habe den Agent schon deinstalliert und neu installiert (+ Update) aber das Verhalten bleibt gleich.

Jemand eine Idee?

MfG Paul

sicher das der richtige Agent ausgerollt wird? In der bakery in der Spalte hosts kanns du sehen welcher Agent für welchen host “gebacken” wurde. (auf die ... klicken :wink:

image

Ja das passt und bei anderen Hosts mit dem selben Agent ist der Check da.
Ich habe hier keine Idee warum das bei manchen klappt und anderen dagegen nicht.

ok. und bei den andren Agents hängt der Host nicht auch mit dran (das der bei zwei Agents matched)?

Nein der ist nur bei dem einen Paket hinterlegt.

image

ist der Host evtl. unter einem andren Namen registriert?