Hallo, schönen Abend!
Wir haben kürzlich unser Monitoring umgestellt, wie hier zu sehen ist: Monitoring Windows Defender Log - #6 by madman
Was uns zuerst auffiel: das Security-Log wird nun etwas anders gemonitored, korrekt? Was wohl an “vista_api yes” liegen dürfte?
Wir halfen uns hier herum, indem wir nun beim Security-Log “all nocontext” setzen und dann serverseitig mit patterns filtern. Ist das die korrekte Vorgehensweise? Gäbe es unter Windows auch die Möglichkeit, agentseitig vorzufiltern?
Weiters haben wir Windows Event Collectoren, die checkmk überwacht. Hier ist es besonders speziell. Soweit wir erkennen, sind die Server in TEST und PROD baugleich. Der cmk-agent-install ist baugleich. Die lokale config von checkmk ist ebenso wie die serverseitige config baugleich.
Nun zum Aber: in der TEST bekomme ich via Rule event ID 4672 zu einem CRIT gewandelt. In der PROD nicht - bis auf einmal. Eventuell wird der WEC zu sehr geflutet, sodass checkmk den Event nicht sauber forwarden kann?
Weiters wird Event 4634 zu einem Crit, obwohl ich lokal im output des agents sehen kann, dass der state “O” ist. Ergo wird dieser am Server gewandelt? Da es aber keine rule hierfür gibt: woher könnte der Wandel zu CRIT kommen?
Dann trug ich noch testweise einen custom event channel im user.yml ein. In der TEST kommt kein einziger Event am cmk-Server an. Kein Forwarding. In der PROD wird regelrecht geflutet: 400-500 Events im .evtx werden zu tausenden Events am cmk-Server. Ein “Clear Log” bewirkt nichts; das Log wird sofort wieder mit den alten(!) Events geflutet.
Eine Idee, woran das liegen könnte?
Herzlichen Dank vorab für eure Hilfe!