Tool voor Windows Events

donderdag 2 april 2020 14:58

Acties:

0 Henk 'm!

Topicstarter

Om de Events van de servers te centraliseren gebruikte wij altijd Advanced Event Viewer.
Deze werkt helaas niet meer met Server 2019.

Ben aan het zoeken naar een ander programma, liefts freeware, maar kan geen goede vervanging vinden.
Gebruiken jullie speciale software om de events te monitoren?

Alvast bedankt voor jullie reacties.

[ Voor 0% gewijzigd door YorgoB op 02-04-2020 14:59 . Reden: typo ]

donderdag 2 april 2020 15:32

Acties:

+1 Henk 'm!

Andre_J

Je zou kunnen kijken naar : https://www.elastic.co/beats/winlogbeat
Moet je wel iets voor optuigen maar is gratis en krachtig.

donderdag 2 april 2020 15:49

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

YorgoB schreef op donderdag 2 april 2020 @ 14:58:
Om de Events van de servers te centraliseren gebruikte wij altijd Advanced Event Viewer.
Deze werkt helaas niet meer met Server 2019.

Windows kent al vanaf Windows 2012R2 "eventlog forwarding". Daarmee kun je events doorsturen naar een centraal systeem. Heb je ook geen 3rd party tooling nodig.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 2 april 2020 17:05

Acties:

0 Henk 'm!

YorgoB

Topicstarter

Dank voor jullie reacties.

Winlogbeat ga ik naar kijken.

Event forwarding vind ik niet overzichtelijk als er veel servers doorgezet worden. Maar mocht ik geen geschikt alternatief vinden, is dit wel een mogelijkheid.

donderdag 2 april 2020 20:33

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Wat is je doel nu?

Je vroeg in je topicstart naar een manier om events te kunnen centraliseren, maar volgens mij zoek je een monitoringtool. Klopt dat? (die zijn er nl. genoeg).

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 2 april 2020 21:50

Acties:

+1 Henk 'm!

Killah_Priest

Andre_J schreef op donderdag 2 april 2020 @ 15:32:
Je zou kunnen kijken naar : https://www.elastic.co/beats/winlogbeat
Moet je wel iets voor optuigen maar is gratis en krachtig.

Een ELK stack zet je niet even zomaar op hoor, daar ben je wel even mee bezig. En echt gratis is het ik niet, voor de leukere functies moet je echt flink in de buidel tasten (plus de tijdsinvestering om het op te zetten, in te richten).

Zonder iets ovet de omgeving en het doel van de TS te weten kan hier ook geen zinnig antwoord op gegeven worden. Gaat het om 2 servers of 200? Draait alles on prem of heb je veel in de cloud draaien? Gaat het echt om monitoring of alleen om logs verzamelen?
Zonder deze informatie kan iedereen van alles roepen maar of de TS hiet nou mee geholpen is?

Het advies wat ik wel aan de TS kan geven: kijk eens in "het grote monitoring topic" Het Grote Monitoring Topic

vrijdag 3 april 2020 08:41

Acties:

0 Henk 'm!

YorgoB

Topicstarter

Ik ben niet op zoek naar een monitoring tool.
Voorheen werkte wij met Advanced Event Viewer.
Hiermee konden we met 1 druk op de knop van 80 (on premise) servers de (gefilterde) events uit de event viewer uitlezen/ophalen van de afgelopen 24 uur.

Hierdoor kregen we dagelijks van alle servers de criticals/warnings en errors in een overzichtelijk scherm.

Hier hebben we jaren mee gewerkt, maar deze ondersteund de nieuwe server OS-en niet meer.
Ik ben naar een programma op zoek die dit ook kan op ongeveer de zelfde manier. Geen probleem als het betaalde software is.

Hoop dat het zo een beetje duidelijker is.

vrijdag 3 april 2020 08:52

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Question Mark schreef op donderdag 2 april 2020 @ 15:49:
[...]

Windows kent al vanaf Windows 2012R2 "eventlog forwarding". Daarmee kun je events doorsturen naar een centraal systeem. Heb je ook geen 3rd party tooling nodig.

Dat is inderdaad een mogelijkheid echter maakt dat de spartaanse filters vanuit Windows nog steeds niet veel beter.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 3 april 2020 09:09

Acties:

+1 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Bor schreef op vrijdag 3 april 2020 @ 08:52:
[...]

Dat is inderdaad een mogelijkheid echter maakt dat de spartaanse filters vanuit Windows nog steeds niet veel beter.

Dat weet ik, maar het ligt aan het doel... Wij gebruiken het ook, maar puur om security events veilig te stellen. Als een system compromised raakt, hebben we de security events in elk nog op een centraal systeem in een aparte omgeving. Op een compromised systeem kun je immers niet meer vertrouwen op je lokale events (grote kans dat die aangepast of gewist zijn). Voor dit doel werkt eventlog forwarding meer dan prima. Per systeem komen de events in een aparte subscription. Voor de rest is het net zo (on)overzichtelijk als op een lokaal systeem.

Kan een kwestie van definitie zijn, maar als TS van 80 servers een geordend overzicht wil van "warnings" en "errors" dan zoek hij gewoon een monitoring tool. Niet realtime in dit geval, maar het blijft een monitoringtool.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 3 april 2020 09:20

Acties:

0 Henk 'm!

Vorkie

Hyena?

https://www.systemtools.com/hyena/

Gebruikte ik vroeger ook voor het snel en gefilterd ophalen van alle eventlogs van alle servers,

vrijdag 3 april 2020 09:52

Acties:

+1 Henk 'm!

Killah_Priest

YorgoB schreef op vrijdag 3 april 2020 @ 08:41:
Ik ben niet op zoek naar een monitoring tool.
Voorheen werkte wij met Advanced Event Viewer.
Hiermee konden we met 1 druk op de knop van 80 (on premise) servers de (gefilterde) events uit de event viewer uitlezen/ophalen van de afgelopen 24 uur.

Hierdoor kregen we dagelijks van alle servers de criticals/warnings en errors in een overzichtelijk scherm.

Dat klinkt als monitoring.
Weliswaar meer een vorm van passief monitoren, maar het is wel monitoring.

Maar is dit niet meteen de gelegenheid om direct te investeren in een goede, degelijke monitoring oplossing die zelf alerts genereert? Ik zou er zelf niet blij van worden om dagelijks van 80 servers een zooi events door te moeten nemen, vaak omdat bepaalde criticals vaak onnodig voorkomen in event logs (schannel meldingen bv)

zaterdag 4 april 2020 22:13

Acties:

0 Henk 'm!

Fonta

Niet alleen dagelijks van 80 servers de events doornemen is een crime, je wilt toch ook gewoon meteen weten als er iets aan de hand is en niet pas een dag later (of na het weekend) als je de logs opgehaald hebt?
En hoe haal je de events op van een server die een BSOD geeft?

maandag 6 april 2020 09:35

Acties:

0 Henk 'm!

YorgoB

Topicstarter

Allemaal dank voor de reacties.
Het programma was onderdeel van een dagelijkse controletaak, naast ons monitoring systeem.
Bovenstaande programma's voldoen niet aan hetgeen wij zoeken.
We gaan dit nu anders inrichten.

Dit draadje mag op slot.

maandag 13 april 2020 14:57

Acties:

0 Henk 'm!

nextware

Indien je Azure gebruikt:

Azure Log Analytics

Heel eenvoudig om je logging van servers uit te lezen. Zelfs van onpremise servers

Vraag

Alle reacties