[2000] Belangrijkste eventlog ID - Windows clients

maandag 20 februari 2006 08:25

Acties:

Verwijderd

Topicstarter

Ik heb een korte vraag die waarschijnlijk de meeste van jullie zo kunnen beantwoorden. Ik echter geen antwoord vinden op Google en/of via de search van Tweakers. Mijn vraag is als volgt:

We gaan binnen nu en een maand het pakket Patrol van BMC software bij ons in de organisatie installeren. Nu moet ik uitzoeken op welke gebeurtenis ID in de logboeken van Windows het pakket een alert moet geven. Dus kortom welke gebeurtenis ID's zijn het meest belangrijk en wil je direct voor gealarmeerd worden?

maandag 20 februari 2006 08:35

Acties:

mutsje

Certified Prutser

Nou neem een login van "Administrator" dat lijkt mij redelijk allarmerend. Wij gebruiken het account hier bv totaal niet en er worden allerts gegenereerd als ermee ingelogt wordt (major event geen critical). Je kunt naar security event's opzoek gaan van foutieve login pogingen.. etc. Dit moet je zelf intepreteren het ene bedrijf vind een login belangrijk een ander bedrijf totaal niet. Er zijn ook bedrijven die alles belangrijk vinden en met eventlogfiles van 16GB zitten ...(die nooit bekeken worden...)

maandag 20 februari 2006 08:41

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Wat is dat voor een pakket als jij dat handmatig moet gaan aanwijzen? En wat als er nu kritische informatie verschijnt waar jij niet op gerekened had?

Misschien hadden jullie beter kunnen kiezen voor iets als MOM 2005: Microsoft Operations Manager 2005 (MOM2005)

Exchange en Office 365 specialist. Mijn blog.

maandag 20 februari 2006 08:45

Acties:

Verwijderd

Topicstarter

Patrol kan een compleet systeem monitoren, dus niet alleen events maar ook processes, CPU, Memory, Databases.....enz. Je kan het zo gek niet bedenken of Patrol kan het in de gaten houden. We kunnen wel zeggen dat Patrol op alle errormeldingen in de eventlog een alert moet geven aan ons maar dan kan dat heel snel oplopen. Daarom willen we alleen een scan op de meest belangrijke gebeurtenis ID's.

@mutsje, weet jij zo de range voor de security ID's?

maandag 20 februari 2006 08:45

Acties:

aZuL2001

Waarom gaan jullie dit pakket implementeren als je geen idee hebt waar je naar zou moeten kijken ? Dan heb je het imho ook niet nodig. Je hoeft geen logging aan te leggen als je er toch niet naar kijkt.

Edit : Als je nu eens van tien werkplekken en 5 servers bij jullie het eventlog opent, en ze kritisch bekijkt. Wellicht dat je dan al een beeld krijgt wat je zou willen monitoren

[ Voor 33% gewijzigd door aZuL2001 op 20-02-2006 08:48 . Reden: aanvulling ]

Abort, Retry, Quake ???

maandag 20 februari 2006 08:51

Acties:

Verwijderd

Topicstarter

Dan heb je een overzicht van de problemen die bijvoorbeeld de afgelopen 2 maanden hebben gespeeld. Er kunnen echter ook events zijn die bij jullie al bekend zijn als belangrijk maar die we hier nog niet in de eventlog hebben gehad. Ik dacht, misschien is er een soort advieslijst met Events die heel belangrijk voor het systeem zijn.

maandag 20 februari 2006 09:10

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Nee, zo werkt het niet. Een event kan in de ene situatie zeer belangrijk zijn terwijl het in een andere situatie absoluut niet interessant is. Het is juist de taak van je enterprise managementsoftware om de informatie uit te filteren en jou alleen te laten zien wat interessant is.

Maar weet je zeker dat jij de juiste persoon bent om de implementatie te verzorgen en dit soort vragen te beantwoorden? Ik krijg de indruk dat je (nog) niet echt verstand hebt van systeembeheer.

[ Voor 9% gewijzigd door Jazzy op 20-02-2006 09:12 ]

Exchange en Office 365 specialist. Mijn blog.

maandag 20 februari 2006 10:52

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op maandag 20 februari 2006 @ 08:45:
@mutsje, weet jij zo de range voor de security ID's?

die staan allemaal gerangschikt onder het kopje "security" in je eventlog

De vraag die je jezelf even moet stellen is wat wil je allemaal weten van je systemen? Wil je alleen security gerelateerde events zien, OS en applicatie foutmeldingen, CPU, I/O, en diskperformances. Wil je trendanalyses kunnen gaan doen, etc. Aan welke SLA's moet je voldoen?

Pas als je dit allemaal weet, kun je je monitoringsystem in gaan richten. Niet eerder. Je kunt moeilijk aan ons gaan vragen wat de inrichting van je monitoringsystem moet gaan worden, als je zelf niet eens weet wat je ermee wilt.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 20 februari 2006 11:18

Acties:

mutsje

Certified Prutser

Verwijderd schreef op maandag 20 februari 2006 @ 08:45:
Patrol kan een compleet systeem monitoren, dus niet alleen events maar ook processes, CPU, Memory, Databases.....enz. Je kan het zo gek niet bedenken of Patrol kan het in de gaten houden. We kunnen wel zeggen dat Patrol op alle errormeldingen in de eventlog een alert moet geven aan ons maar dan kan dat heel snel oplopen. Daarom willen we alleen een scan op de meest belangrijke gebeurtenis ID's.

@mutsje, weet jij zo de range voor de security ID's?

Het is hier geen voorkauw desk.. maak testuser aan log eens paar keer verkeerd aan en walla.

btw MOM2005 kan alles wat jij hierboven noemt ook en meer

maandag 20 februari 2006 11:33

Acties:

elevator

Officieel moto fan :)

Als je echt geen idee hebt hoe je monitoring software in te richten qua eventid's denk ik dat je het nu de verkeerde kant op uit aan het werken bent

Als je nu namelijk enkel gaat opgeven waar je op wil gealert worden, ga je gebeurtenissen die normaal gesproken totaal niet voorkomen niet eens zien omdat je die negeert (denk bv. aan een eventlog die aangeeft dat je harddisk kapot aan het gaan is) - ik zou dus in jouw geval de omgekeerde weg pakken: Monitor alles, schrap wat je niet wilt weten en ga op die manier je monitoring finetunen

maandag 20 februari 2006 11:52

Acties:

Verwijderd

Topicstarter

Jazzy schreef op maandag 20 februari 2006 @ 09:10:
......

Maar weet je zeker dat jij de juiste persoon bent om de implementatie te verzorgen en dit soort vragen te beantwoorden? Ik krijg de indruk dat je (nog) niet echt verstand hebt van systeembeheer.

Uhm Jazzy, ik weet wel voldoende om dit te vragen en te begrijpen. Ik ben namelijk de senior Citrix systeembeheerder hier. Maar dat is een beetje off topic.

Uiteraard is de ene situatie de andere niet en heb je bepaalde error codes wel nodig om het probleem op te lossen en anderen weer niet terwijl je ze juist wel in een andere situatie nodig hebt. Ik vroeg me alleen af of er codes waren die altijd zeer belangrijk zijn dus die je het beste altijd een warning kunt laten geven. Ik dacht dat sommige hun omgeving zo hadden ingericht dat ze zo al standaard waardes wisten, maar blijkbaar is hier geen adviesstandaard in.

We hebben momenteel geen SLA's afgesproken, we gaan een pilot starten met een aantal waardes. Na deze pilot moeten we gaan kijken welke waardes we verder nog instellen. Gedurende de pilot kan je uiteraard veel bijstellen om je instellingen zo te tunen. De instellingen voor Harddisk, netwerk, database, CPU, memory etc zijn allemaal al vastgesteld. Die hoeven we dus niet met de eventlog in de gaten te houden.

Wat betreft de security, hier gaan we alles in de gaten houden en dan kijken wat eventueel niet nodig is. Ik heb de systemen even gecontroleerd maar de security meldingen zijn nihil tot geen.

[ Voor 10% gewijzigd door Verwijderd op 20-02-2006 11:55 ]

maandag 20 februari 2006 12:02

Acties:

elevator

Officieel moto fan :)

Maar zijn die geen tot nihil omdat je de auditing 'vergeten' bent te configureren of om een andere reden?

maandag 20 februari 2006 12:35

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Partol is geen pakket dat je zo maar even gaat installeren imho. Het is erg belangrijk eerst te komen tot eisen en wensenpakket. Wat wil je monitoren, hoe wil je dat gaan doen, welke performance counters wil je bv meten, bij welke event wil je een trap ontvangen? Wat zijn missioncritical systemen? Hoe ga je de logging archiveren? Welke wijze van alarmindicatie wil je gebruiken (bv dashboard, sms , e-mail? Moet er uberhaubt actief getriggered worden? Welke eisen stel je aan de beschikbaarheid van het monitoring / management systeem? Wie moet hier allemaal toegang toe krijgen en hoe ga je dit controlleren?

Azul2001 komt met een interessante opmerking. Ik krijg het idee dat je al een oplossing hebt gekozen terwijl het probleem niet eens helemaal duidelijk is. Is Patrol door een bedrijf als oplossing aangedragen of hebben jullie zelf iets uitgezocht? Wat waren de argumenten om juist voor Patrol te kiezen en niet voor Openview of zelfs simpel WhatsupGold?

No offence wat heeft dee functie senior Citrix systeembeheerder met het inrichten van een monitoringsysteem te maken?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 20 februari 2006 12:56

Acties:

Verwijderd

Topicstarter

Ik kreeg namelijk de opmerking dat ik geen verstand had van systeembeheer, dus in die zin heeft het er wel veel mee te maken.

De implementatie van Patrol wordt niet door ons gedaan. Een extern bureau (Keen IT) gaat dit bij ons implementeren. De keuze van Patrol is door het management gedaan en hier kan ik helaas niets aan wijzigen. We weten dat het implementeren ervan veel tijd en energie in beslag gaat nemen. 2 medewerkers krijgen 1 jaar full time de tijd om zijn energie erin te steken. Patrol is puur voor het uithanden nemen van werk dat we nu handmatig doen qua monitoring. Tevens kan het management zo duidelijker op proces niveau zien hoe het proces werkt. Ik ben de projectleider in dit geheel, maar ook het aanspreekpunt wat betreft een aantal systeembeheer vragen rondom de Citrix omgeving die draait op windows 2000 server. Ik hoop dat het zo duidelijker is.

[ Voor 12% gewijzigd door Verwijderd op 20-02-2006 12:57 ]

maandag 20 februari 2006 13:00

Acties:

mutsje

Certified Prutser

als je geen eventmelding mbt security krijgt zou ik eerst eens de default policy editten mbt auditting. Dit vind je in Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policies. Dit is erg basis windows kennis imho.
* mutsje heeft er gelukkig geen verstand van

[ Voor 9% gewijzigd door mutsje op 20-02-2006 13:03 ]

maandag 20 februari 2006 13:18

Acties:

Verwijderd

elevator schreef op maandag 20 februari 2006 @ 11:33:
Als je echt geen idee hebt hoe je monitoring software in te richten qua eventid's denk ik dat je het nu de verkeerde kant op uit aan het werken bent

Als je nu namelijk enkel gaat opgeven waar je op wil gealert worden, ga je gebeurtenissen die normaal gesproken totaal niet voorkomen niet eens zien omdat je die negeert (denk bv. aan een eventlog die aangeeft dat je harddisk kapot aan het gaan is) - ik zou dus in jouw geval de omgekeerde weg pakken: Monitor alles, schrap wat je niet wilt weten en ga op die manier je monitoring finetunen

mee eens, alles monitoren en schrappen wat niet interessant is.

btw eventid ranges die interessant zouden zijn. [sarcastic mode]Een beetje senior citrix beheerder zou toch wel moeten weten dat dat een complete BS vraag is[/sarcastic mode]

maandag 20 februari 2006 13:19

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Verwijderd schreef op maandag 20 februari 2006 @ 12:56:
Ik kreeg namelijk de opmerking dat ik geen verstand had van systeembeheer, dus in die zin heeft het er wel veel mee te maken.

Die conclusie trek ik alleen maar door de vraag die je stelt. Als je wat meer ervaring zou hebben op dit gebied dan zou je voor een andere benadering kiezen.

We weten dat het implementeren ervan veel tijd en energie in beslag gaat nemen. 2 medewerkers krijgen 1 jaar full time de tijd om zijn energie erin te steken. Patrol is puur voor het uithanden nemen van werk dat we nu handmatig doen qua monitoring.

Misschien moet je je energie steken in het overtuigen van het management dat dit niet de juiste weg is. Hoe groot is jullie omgeving eigenlijk, hoeveel te managen machines?

Exchange en Office 365 specialist. Mijn blog.

maandag 20 februari 2006 13:29

Acties:

Verwijderd

Topicstarter

@ mutsje&IIS:Ik dacht dat dit forum ervoor was om elkaar te helpen en niet om elkaar zo uit te dagen met flauwe opmerkingen. Daar heb ik namelijk helemaal geen zin in en komt ook niet professioneel over. Je kan dit soort dingen ook op een normale manier brengen.

[ Voor 3% gewijzigd door Verwijderd op 20-02-2006 13:30 ]

maandag 20 februari 2006 13:36

Acties:

mutsje

Certified Prutser

mja heb je gelijk in maar dit is geen voorkauw forum men verwacht wel enige eigen inbreng. Zet eerst je security audits maar eens aan en opeens zie je erg veel entry's in je security eventlog verschijnen. Ook lijkt het me zoals Elevator en IIS al melden handig om eerst alles te monitoren en hier uit te schiften wat je wel / niet wilt hebben en daarna prioriteiten aan de events te koppelen normal, major, critical bv..

maandag 20 februari 2006 15:20

Acties:

elevator

Officieel moto fan :)

Verwijderd schreef op maandag 20 februari 2006 @ 12:56:
het aanspreekpunt wat betreft een aantal systeembeheer vragen rondom de Citrix omgeving die draait op windows 2000 server. Ik hoop dat het zo duidelijker is.

Dan moet je dus sowieso er eens induiken waarom je geen auditting hebt aanstaan, anders valt er namelijk weinig te monitoren en is er al helemaal moeilijk een baseline van 'te verwaarlozen' events te creeeren

maandag 20 februari 2006 15:26

Acties:

Verwijderd

Topicstarter

Klopt daar heb je helemaal gelijk, ik heb het ook hier als actiepunt opgeschreven en ben er momenteel al naar aan het kijken.

maandag 20 februari 2006 16:46

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Ben ik de enige die het monitoren van alles om daarna te gaan schiften niet noodzakelijk de beste aanpak vind in deze? Hoe weet je bv wat je moet weggooien als je de onderliggende events niet begrijp / beheerst? Deed je dat namelijk wel dan wist je voor een groot deel wat je moet monitoren. Het feit dat bv security auditing al niet aan lijkt te staan. Zet je hier alles aan dan zul je een gigantische brei aan info krijgen waar je al snel het spoor bijster zult worden zonder voldoende kennis op dit punt.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 20 februari 2006 16:48

Acties:

elevator

Officieel moto fan :)

Mjah het alternatief is enkel monitoren van hetgene dat je wilt weten - het probleem daarmee is dat als je een goed beeld wilt hebben van 'alles' dat juist de uitzonderings situaties vaak 'interessant' zijn.

Nu is Wirret's situatie nog moeilijker daarin omdat hij al helemaal niet weet wat hij wil weten

maandag 20 februari 2006 17:33

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Je kunt dat natuurlijk ook mengen: alleen die events "meten" waarvan je weet dat het de meest interessante zijn voor een device of service en alles meten indien dit nog niet bekend is. Let wel dat het natuurlijk ook geldt: hoe meer je meet hoe meer netwerkverkeer / traffic etc.

Bepaal ook hoe en of je bepaalde meetwaarden wilt beschermen tegen wijziging / afluisteren tijdens het verzenden (bv ipsec toepassen).

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

dinsdag 21 februari 2006 09:40

Acties:

Verwijderd

Topicstarter

Op zich als een event zich voordoet kan ik hem wel begrijpen. Op het internet is per event genoeg te vinden. Dit heb ik in het verleden ook vaak gedaan bij productieproblemen. Maar aangezien we nog niet zo heel veel gebruik hebben gemaakt zijn er nog niet veel belangrijke waardes bij ons bekend. Maar ik begrijp nu inderdaad wel dat het voor jullie sier onmogelijk is om een setting door te geven. We hebben dan ook besloten om eerst alles te monitoren behalve de id's waarvan we 100% zeker zijn dat ze niet erg zijn. Met melding 1000 en 1107 bijvoorbeeld doen we niet veel, hier gaat het om een kopieeractie van het profiel en het aanmaken van printers. Dit wordt door ons niet als bedrijfskritisch bestempeld. We gaan de aanpak dus volledig omdraaien.