SCOM und die EventLogs

Tagged: 

This topic contains 0 replies, has 1 voice, and was last updated by  Jan Obes 2 weeks, 2 days ago.

Viewing 1 post (of 1 total)
  • Author
    Posts
  • #1898

    Jan Obes
    Keymaster

    Hallo zusammen,

    Gerne würde ich nochmals auf die Basics mit dem SCOM zurückkommen. Viele der Kunden folgen dem Standpunkt, dass der System Center Operations Manager eine Alerting Software ist. Sprich, es werden nur Daten eingesammelt, die auch alarmiert werden sollen. Mit dem Aufkommen von ESAE und dem gestiegenen Security Gedanken, wurde der Fokus immer mehr auch auf die Fähigkeiten des Einsammelns und Reporting gesetzt. Wenn wir über eventvwr einen Blick auf die Events setzen, dann sehen wir, das was für Menschen Gedacht und Designed ist. Der SCOM hingegen ist ein Stück Software und schaut viel lieber auf die XML Bestandteile 
    Gerne können wir einen Blick auf das Event 4624 werfen:

    1

    3

    Die Ansicht für den Menschen definiert das “Impersonation Level” Feld, während im XML ein Code (%%1832) verwendet wird. Wenn man jetzt nach der Identifikation suchen wird, wird kein Alarm vom SCOM erzeugt werden.

    Gerne gibt es noch ein weiteres Szenario zu beleuchten:

    3

    4

    In diesem Fall ist die Event Source eine andere. Dies kann gerade für den SCOM Neuling eine Herausforderung und sehr verwirrend sein. Es ist kein komplexer Fehler, aber ich laufe in meinen Trainings diesem Problem immer mal wieder hinterher.

    Ein weiterer erwähnenswerter Punkt den ich ansprechen möchte ich die Parametrisierung. Die meisten Events sind parametrisiert. Dies ist in den meisten Fällen in der Eventdescription der Fall. Scom gibt in dem Default nicht die Möglichkeit, die EventDescription als ganzes zu werdenden. Und dafür gibt es einen Grund. Es ist absolut ineffizient und sollte auf keinem Fall getan werden. Besser ist der Einsatz von Parametrisierung im SCOM selber.

    Gerne können wir uns gemeinsam das Event 4634 anschauen.

    5

    Ich kann das Event mittels eines Parameters TargetUserSid filtern. Damit keiny Typos entstehen, verwendet SCOM an dieser Stelle Parameters, welche Durchnummeriert sind. Wenn wir den System Baum erweitern, dann existieren dort die durchnummerierten Bereiche. TargetUserSid ist parameter 1. TargetUserName ist parameter 2. Man kann entweder durchzählen oder das Tool Logparser 2.2 verwenden.

    Ich hoffe, der Artikel hilft ein wenig, um mit dem SCOM ein gutes Security Event Monitoring / Reporting aufzubauen.
    Viele Grüße
    jan

Viewing 1 post (of 1 total)

You must be logged in to reply to this topic.