Even een algemene vraag, hoop dat ik hier goed zit in dit deel vh forum. Heb een situatie waarin in SCOM een alarm wordt gegenereerd zodra er op een Win2003/2008 server een Event ID 6006 voor een user met een té lange inlogtijd. wordt waargenomen.
De inlogtijden zijn af- en toe écht te lang en Microsoft heeft dus een bepaalde threshhold aan x seconden waarna dus zo'n Event ID wordt gegeneerd (en zichtbaar in Eventvwr). Hiervanuit kan ik acteren door profielen te bekijken (lees: op te schonen), loginscript onder de loep nemen en de printerdrivers up/downgraden. Echter staat er bij een Event ID géén username / UserID.
Zo is het alleen érg lastig voor mij, dus mijn vraag is of iemand hier een handig iets (tip) voor heeft? We hebben inderdaad servers met Citrix en kan dit met Edgesight doen, maar het handigst is het als het via SCOM gaat (worden meteen incidenten voor aangemaakt vanuit SCOM).
De melding ziet er zo uit:
. Kon helaas weinig vinden op mijn grote vriend G. Oogle.
De inlogtijden zijn af- en toe écht te lang en Microsoft heeft dus een bepaalde threshhold aan x seconden waarna dus zo'n Event ID wordt gegeneerd (en zichtbaar in Eventvwr). Hiervanuit kan ik acteren door profielen te bekijken (lees: op te schonen), loginscript onder de loep nemen en de printerdrivers up/downgraden. Echter staat er bij een Event ID géén username / UserID.
Zo is het alleen érg lastig voor mij, dus mijn vraag is of iemand hier een handig iets (tip) voor heeft? We hebben inderdaad servers met Citrix en kan dit met Edgesight doen, maar het handigst is het als het via SCOM gaat (worden meteen incidenten voor aangemaakt vanuit SCOM).
De melding ziet er zo uit:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| - <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC-A3CB16A3B538}" EventSourceName="Wlclntfy" />
<EventID Qualifiers="32768">6006</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2012-07-03T06:51:23.000000000Z" />
<EventRecordID>132624</EventRecordID>
<Correlation />
<Execution ProcessID="0" ThreadID="0" />
<Channel>Application</Channel>
<Computer>servernaam</Computer>
<Security />
</System>
- <EventData>
<Data>Profiles</Data>
<Data>87</Data>
<Data>Logon</Data>
<Binary>02000000</Binary>
</EventData>
</Event> |
Kan wel handmatig de tijden erbij pakken van de users maar als ik meerdere customers op 1 server heb dan is het soms érg lastig zoeken
. Kon helaas weinig vinden op mijn grote vriend G. Oogle.