Windows Security Log updated CRITs nicht und soll nur ab gewisser Anzahl anzeigen

Global Community Deutsch
,
1

Hallo,
wir verwenden CheckMK Enterprise 2.1 auf einem Windows Server 2012 auf dem ein DC läuft.

Nun sind uns zwei Sachen aufgefallen beim monitoren des Security Logs.

  1. Wird ab der ~8 CRIT Meldung das Log nicht mehr mit neuen Crits gefüllt. Teilweise waren die Meldungen über einen Monat alt obwohl in der Zeit neue Crits reinkamen, diese wurden im CheckMK Log und auf der Webpage nicht angezeigt.
  2. Würden wir gerne das Win Event 4625 (fehlerhafte Passworteingabe) erst als Crit anzeigen lassen, sobald 5 von den Meldungen in kurzer Zeit monitored werden. Ist das überhaupt möglich?

Vielen Dank im voraus.

2

Hallo,

ich nehme an du verwendetst das normal Logwatch?
Weil da muss man nämlich Meldungen immer Quitieren damit neue Crits angezeigt werden. Wenn der Cache aber mit 8 schon voll ist, bedeutet dies viel Context von anderen Meldungen. Die Kannst du aber im Agent abstellen, wenn du Bakery ferwendest mit Finetune Windows Event Logs.

Zu zwei, sowas ist nicht möglich. Nur in der Event Konsole hast du mehr möglichkeiten um ein Event z.B. erst nach mehrfachem erscheinen zu melden etc.

1 Like
3

Danke für deine Antwort.

Zu 2. habe ich noch eine Frage. Ich habe die Event Logs geforwarded und habe in der Event Konsole ein Rulepack erstellt. Wie würde denn für das Windows Security Log die Regex aussehen, wenn ich alle Crits abfangen will aber die restlichen “unnötigen” Events nicht?
Ich nehme an, dass deswegen das Log volläuft.

4

Mache einfach mal eine Catch All regel die nur auf die Facility greift, die du zur Weiterleitung verwendest und ganz wichtig die Meldung nach Zeit x wieder automatisch löscht, dann warte eine CRIT ab und du siehst genau deren Aufbau.

Die Catch All dann wieder deaktivieren und dann kannst du deine echte Regel erstellen.

Habe nämlich leider kein Beispiel von Eventlog hier :slight_smile:

1 Like
5

Schau dir die Beispiele hier mal an :

https://checkmk.atlassian.net/wiki/spaces/KB/pages/9473844/Monitoring+Windows+security+log+with+the+CMK+Event+Console+rule+logwatch

Kann man sicher einfacher bauen, aber um es zu verstehen hilft es denke ich.
Die Priority wird vom Agenten mitggeben, d.h. du kannst das einfach so angeben:

Match syslog application (tag): SECURITY
Match syslog priority: From crit to crit

1 Like
6

This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact an admin if you think this should be re-opened.