Zabbix / MS Server EventLog

[PEASANT KING]

Guten Morgen,

wir lesen Eventlogs an useren Windows Servern aus. Ich denke nichts ungewöhnliches.
Das funktioniert auch, allerdings wird als Value nur die erste Zeile ausgelesen, die evtl. wichtigen Informationen die danach folgen,
die sind in Zabbix als Wert nicht sichtbar.

Ausgelesen wird mit Zabbix Agent(active) und folgendem simplen Key: eventlog[Security,,,,4625,1000,skip] z.B.
Für mich wichtig wäre z.B. an welchem Konto sich versucht hat falsch anzumelden in meinem genannten Beispiel.

Grüße

 

[esb315]

Schau dir mal Wazuh an. Das sammelt den kompletten Event-Eintrag ein. Ohne erst irgendwelche Keys basteln zu müssen. Haben wir in der Firma im Einsatz.

 

[DerGast]

Ich denke Dir ist die Syntax bekannt. Ich müsste das auch mal realisieren, und habe einst das dazu gefunden:
https://www.reddit.com/r/zabbix/comments/ihj1se/template_for_windows_event_log_user_account_block/

Allerdings setze ich seit gut einem Jahr, wie esb315 schon erwähnte, auch Wazuh als SIEM ein und habe hier ein deutlich bessere Filtermöglichkeit als bei Zabbix. Und zusätzlich noch einige andere Features wie Vul-Scan, AV und so weiter.

Also ist es nun aufgeteilt:
Zabbix: Monitoring Dienste, Kapazitäten und Co.
Wazuh: Monitoring Anmeldeereignisse, Vul-Scan, AV und Co.

 

[PEASANT KING]

Ja ich denke, dass wird hier dann auch nötig sein, danke für euer Feedback.