Event Viewer van 1000 Windows 10 Clients monitoren?

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • TheIceWarrior
  • Registratie: Februari 2004
  • Laatst online: 09-05 09:42
Ik ben op zoek naar een tool waarmee ik de event viewer en dan de Application en System categorie van de ongeveer 1000 Windows 10 workstations die ik beheer kan monitoren.

Zaken die ik graag zou willen monitoren is een foutmelding die op een groot aantal systemen voor komt, bijvoorbeeld omdat een policy niet goed uitgevoerd wordt.
Of als 1 soort foutmelding heel vaak voor komt op een systeem, zoals een service die iedere 5 minuten probeert te starten en dat al maanden probeert en maar niet lukt. Dit vervuilt de Event viewer enorm waardoor andere meldingen alweer verdwijnen uit de history.
In de System logs gaat het vooral om hardware errors, zoals disk en memory.

Ik kan via powershell de Application en System event viewer logs centraal exporteren, maar het is niet erg gebruiksvriendelijk om vervolgens zelf met een Wingrep oid aan de slag te gaan.

Zijn hier gratis tools voor?

Ik ken MS SCOM maar dat is te duur en overkill voor deze toepassing, bovenstaande zou een nice to have zijn.

Alle reacties


Acties:
  • +5 Henk 'm!

  • Craven
  • Registratie: Februari 2007
  • Laatst online: 00:47
Je wilt 1000 machines monitoren maar het moet gratis? Ik zou eerst je manager is een schop verkopen en budget regelen...

Maar wat heb je zelf al gedaan om dit te vinden? Windows event viewer en tooling om die uit te lezen bestaan letterlijk al decennia. De kans dat er een gratis tooltje beschikbaar is vrij groot inmiddels.

Acties:
  • 0 Henk 'm!

  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 16-06 13:21

MAX3400

XBL: OctagonQontrol

TheIceWarrior schreef op maandag 7 februari 2022 @ 09:51:

Ik kan via powershell de Application en System event viewer logs centraal exporteren, maar het is niet erg gebruiksvriendelijk om vervolgens zelf met een Wingrep oid aan de slag te gaan.

Zijn hier gratis tools voor?
Ja, Powershell dus. En bij geen zin/tijd: WMI. En bij slim oplossen: collega's.

Maar je wurmt jezelf in een interessante deadlock: je moet zelf aan de slag en/of je wil hapklare brokken info. Maar je startpost zegt zelf dat event 1000 om elke poep & scheet kan voorkomen.

Ik geloof niet dat er tools bestaan die al "jouw" false-positives eruit filteren, dan alles op prio sorteren, dan daar netjes een SMTP-trap achter hebben zodat je rustig achterover alles in je mail-client krijgt zodat je kan copy/paste in het ticketing-systeem.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof


Acties:
  • 0 Henk 'm!

  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

MAX3400 schreef op maandag 7 februari 2022 @ 09:58:
[...]

zodat je rustig achterover alles in je mail-client krijgt zodat je kan copy/paste in het ticketing-systeem.
Dat kun je ook automatiseren. Een beetje ticketing systeem heeft gewoon een API zodat je automatisch incidenten kunt genereren.

Maar nee, dit lijkt me typisch iets wat je met PowerShell kunt doen, door gewoon dagelijks alle logs te exporteren en alle entries in één grote database te gooien. Daar kun je dan met bestaande tools analyses op doen. Dat kun je allemaal automatiseren.

Als je met wingrep aan de slag moet dan weet je dat je nog meer moet automatiseren. Het moet prima mogelijk zijn om dit te automatiseren zodat je netjes dagelijks een rapport gemaild krijgt zonder er verder nog naar om te kijken.

Acties:
  • 0 Henk 'm!

  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 17:11

sh4d0wman

Attack | Exploit | Pwn

Als je hier toch mee bezig gaat denk er dan ook over hoe lang je de complete logging wil bewaren. Mocht zich een security incident voordoen dan kan logging voor forensics erg belangrijk zijn. Voor dagelijks gebruik wil je juist graag de kleinst mogelijke subset zien.

Oh ja neem ook een waarschuwing op als clients opeens geen eventviewer meldingen meer hebben of de service is gestopt. Dan heb je meestal ongewenst bezoek :p

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.


Acties:
  • +1 Henk 'm!

  • akimosan
  • Registratie: Augustus 2003
  • Niet online
Windows Admin Center om gratis te starten, als je meer nodig hebt of wilt, investeren in de juiste tools. Anders ben net makkelijk tijd en geld aan het verspillen met iets custom bouwen en onderhouden van iets wat in verschillende prijsklassen vaak "from the shelf" leverbaar is.

Acties:
  • 0 Henk 'm!

  • NLKornolio
  • Registratie: Februari 2010
  • Laatst online: 04-07 14:20

NLKornolio

BF3/BF4: NLKornolio

Zabbix, heb het nog niet met eventviewer gebruikt weet dus niet wat de output is maar daar kom je vast wel uit.
https://www.zabbix.com/whats_new_5_4

https://techexpert.tips/z...onitor-event-log-windows/

Acties:
  • 0 Henk 'm!

  • TheIceWarrior
  • Registratie: Februari 2004
  • Laatst online: 09-05 09:42
bedankt allemaal, ik ga erin duiken!

Acties:
  • 0 Henk 'm!

  • Oogje
  • Registratie: Oktober 2003
  • Niet online
Duik direct ook eens in Windows Event Forwarding.

Any errors in spelling, tact, or fact are transmission errors.


Acties:
  • +3 Henk 'm!

  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 01:34

The Eagle

I wear my sunglasses at night

Klinkt als een typisch gebruik voor Logstash, al dan niet met Elasticsearch als backend en Kibana er bovenop. Beter bekend als de ELK stack :) opensource, je hebt alleen kennis en hardware nodig.
Meer commercieel product is Splunk.

Als het eenmalig is kun ie eens bij logz.io kijken, die leveren hosted elk stack. Gaat je data wel naar de cloud.

Either way: dit soort oplossingen kosten geld en resources, hoe je het ook wendt of keert. Met yet gratis, zoek maar alvast een andere werkgever want dan worden je problemen alleen maar groter

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


Acties:
  • 0 Henk 'm!

  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

The Eagle schreef op dinsdag 8 februari 2022 @ 08:56:
Klinkt als een typisch gebruik voor Logstash, al dan niet met Elasticsearch als backend en Kibana er bovenop. Beter bekend als de ELK stack :) opensource, je hebt alleen kennis en hardware nodig.
En dan kun je met Winlogbeat op de client daadwerkelijk de logs exporteren naar ELK. Da's waar ook. Ben dit product bij mijn werkgever wel eens tegen gekomen maar dacht dat het alleen voor webserver logs gebruikt werd. Maar ik zie nu dat Winlogbeat ook event logs kan exporteren.

Acties:
  • 0 Henk 'm!

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 22:34

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Bedenk ook even goed wat je wilt... wil je wel duizend werkplekken pro-actief gaan monitoren?

Of is het een betere keuze om meer in te zetten op self service en self healing? Werkplek issue's worden tegenwoordig echt niet meer getroubleshoot en verholpen. Een nieuw image terugplaatsen is vele malen sneller en lost issue's met 100% zekerheid op... Bij een goed ingerichte omgeving is dat men een uurtje wel klaar...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 22:30

Jazzy

Moderator SSC/PB

Moooooh!

Dan verhuis ik je topic even naar Serversoftware en Windows Servers :).

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

Question Mark schreef op dinsdag 8 februari 2022 @ 11:57:
Bedenk ook even goed wat je wilt... wil je wel duizend werkplekken pro-actief gaan monitoren?

Of is het een betere keuze om meer in te zetten op self service en self healing? Werkplek issue's worden tegenwoordig echt niet meer getroubleshoot en verholpen.
Hoewel ik het deels met je eens ben zie ik ook wel meerwaarde in pro-actieve monitoring. Niet om elke error in het log te verhelpen (dat vind ik bij servers al onzin) maar wel om trends te volgen en issues te vinden die niet alleen maar incidenteel zijn. Misschien om een Top 10 aan meest voorkomende issues te vinden die je structureel op kan lossen.
Een nieuw image terugplaatsen is vele malen sneller en lost issue's met 100% zekerheid op... Bij een goed ingerichte omgeving is dat men een uurtje wel klaar...
Een nieuw image terug plaatsen lost issues niet met 100% zekerheid op als het probleem structureel is en juist veroorzaakt wordt door een fout in het image. (trust me, I've been there)

Acties:
  • 0 Henk 'm!

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 22:34

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Er zijn meerdere manieren om je problem management proces gevoed te krijgen met informatie. Eventlogmonitoring is daar slechts één van. TS moet goed nagaan wat voor zijn organisatie de beste werkwijze is. Ik zet niet dat TS geen eventlogs moet/mag gaan controleren, maar kijk wel goed naar de verhouding tussen baten en lasten. :)

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • T0ny
  • Registratie: September 2012
  • Laatst online: 07-10-2024
Je zou eens kunnen kijken naar Log Analytics binnen Azure, dan kan je centraal queries draaien en alerts inregelen.
Solarwinds Log Analyzer is ook een opties: https://www.solarwinds.com/log-analyzer

Acties:
  • 0 Henk 'm!

  • ReZpie
  • Registratie: April 2012
  • Laatst online: 04-07 08:37
Of pro-active remediations in sccm of intune zou nog een optie kunnen zijn?ook zitten er misschien mogelijkheden in de reporting van intune, dat zou met graph kunnen. Ik neem aan dat je wilt filteren op veel voorkomende errors op event id ofzo? Denk dat dat veel handiger is dan alle logs gaan monitoren.
Powershell is een prima tool en dan naar die api van je ticket systeem zetten.

Acties:
  • 0 Henk 'm!

  • Skwydor
  • Registratie: December 2021
  • Laatst online: 27-02-2022

Skwydor

I use Fedora btw

Ook een optie is Telegraf data naar een InfluxDB laten sturen
Charts en inzichten daarna via Grafana

Of iets anders icm TICK of ELK stack
Voor Eventlogs is volgens mij graylog of Elastic search wat geschikter dan InfluxDB

Kan zeker, en makkelijk 'gratis' , maar uiteraard moet je er wel zelf tijd in stoppen en ergens de data hosten.

https://github.com/influx...ts/win_eventlog/README.md
Pagina: 1