Event Viewer van 1000 Windows 10 Clients monitoren?

maandag 7 februari 2022 09:51

Acties:

0 Henk 'm!

Topicstarter

Ik ben op zoek naar een tool waarmee ik de event viewer en dan de Application en System categorie van de ongeveer 1000 Windows 10 workstations die ik beheer kan monitoren.

Zaken die ik graag zou willen monitoren is een foutmelding die op een groot aantal systemen voor komt, bijvoorbeeld omdat een policy niet goed uitgevoerd wordt.
Of als 1 soort foutmelding heel vaak voor komt op een systeem, zoals een service die iedere 5 minuten probeert te starten en dat al maanden probeert en maar niet lukt. Dit vervuilt de Event viewer enorm waardoor andere meldingen alweer verdwijnen uit de history.
In de System logs gaat het vooral om hardware errors, zoals disk en memory.

Ik kan via powershell de Application en System event viewer logs centraal exporteren, maar het is niet erg gebruiksvriendelijk om vervolgens zelf met een Wingrep oid aan de slag te gaan.

Zijn hier gratis tools voor?

Ik ken MS SCOM maar dat is te duur en overkill voor deze toepassing, bovenstaande zou een nice to have zijn.

maandag 7 februari 2022 09:57

Acties:

+5 Henk 'm!

Craven

Je wilt 1000 machines monitoren maar het moet gratis? Ik zou eerst je manager is een schop verkopen en budget regelen...

Maar wat heb je zelf al gedaan om dit te vinden? Windows event viewer en tooling om die uit te lezen bestaan letterlijk al decennia. De kans dat er een gratis tooltje beschikbaar is vrij groot inmiddels.

maandag 7 februari 2022 09:58

Acties:

0 Henk 'm!

MAX3400

XBL: OctagonQontrol

TheIceWarrior schreef op maandag 7 februari 2022 @ 09:51:

Ik kan via powershell de Application en System event viewer logs centraal exporteren, maar het is niet erg gebruiksvriendelijk om vervolgens zelf met een Wingrep oid aan de slag te gaan.

Zijn hier gratis tools voor?

Ja, Powershell dus. En bij geen zin/tijd: WMI. En bij slim oplossen: collega's.

Maar je wurmt jezelf in een interessante deadlock: je moet zelf aan de slag en/of je wil hapklare brokken info. Maar je startpost zegt zelf dat event 1000 om elke poep & scheet kan voorkomen.

Ik geloof niet dat er tools bestaan die al "jouw" false-positives eruit filteren, dan alles op prio sorteren, dan daar netjes een SMTP-trap achter hebben zodat je rustig achterover alles in je mail-client krijgt zodat je kan copy/paste in het ticketing-systeem.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

maandag 7 februari 2022 12:25

Acties:

0 Henk 'm!

downtime

Everybody lies

MAX3400 schreef op maandag 7 februari 2022 @ 09:58:
[...]

zodat je rustig achterover alles in je mail-client krijgt zodat je kan copy/paste in het ticketing-systeem.

Dat kun je ook automatiseren. Een beetje ticketing systeem heeft gewoon een API zodat je automatisch incidenten kunt genereren.

Maar nee, dit lijkt me typisch iets wat je met PowerShell kunt doen, door gewoon dagelijks alle logs te exporteren en alle entries in één grote database te gooien. Daar kun je dan met bestaande tools analyses op doen. Dat kun je allemaal automatiseren.

Als je met wingrep aan de slag moet dan weet je dat je nog meer moet automatiseren. Het moet prima mogelijk zijn om dit te automatiseren zodat je netjes dagelijks een rapport gemaild krijgt zonder er verder nog naar om te kijken.

maandag 7 februari 2022 12:40

Acties:

0 Henk 'm!

sh4d0wman

Attack | Exploit | Pwn

Als je hier toch mee bezig gaat denk er dan ook over hoe lang je de complete logging wil bewaren. Mocht zich een security incident voordoen dan kan logging voor forensics erg belangrijk zijn. Voor dagelijks gebruik wil je juist graag de kleinst mogelijke subset zien.

Oh ja neem ook een waarschuwing op als clients opeens geen eventviewer meldingen meer hebben of de service is gestopt. Dan heb je meestal ongewenst bezoek

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

maandag 7 februari 2022 19:43

Acties:

+1 Henk 'm!

akimosan

Windows Admin Center om gratis te starten, als je meer nodig hebt of wilt, investeren in de juiste tools. Anders ben net makkelijk tijd en geld aan het verspillen met iets custom bouwen en onderhouden van iets wat in verschillende prijsklassen vaak "from the shelf" leverbaar is.

maandag 7 februari 2022 19:51

Acties:

0 Henk 'm!

NLKornolio

BF3/BF4: NLKornolio

Zabbix, heb het nog niet met eventviewer gebruikt weet dus niet wat de output is maar daar kom je vast wel uit.
https://www.zabbix.com/whats_new_5_4

https://techexpert.tips/z...onitor-event-log-windows/

dinsdag 8 februari 2022 08:47

Acties:

0 Henk 'm!

TheIceWarrior

Topicstarter

bedankt allemaal, ik ga erin duiken!

dinsdag 8 februari 2022 08:54

Acties:

0 Henk 'm!

Oogje

Duik direct ook eens in Windows Event Forwarding.

Any errors in spelling, tact, or fact are transmission errors.

dinsdag 8 februari 2022 08:56

Acties:

+3 Henk 'm!

The Eagle

I wear my sunglasses at night

Klinkt als een typisch gebruik voor Logstash, al dan niet met Elasticsearch als backend en Kibana er bovenop. Beter bekend als de ELK stack

opensource, je hebt alleen kennis en hardware nodig.
Meer commercieel product is Splunk.

Als het eenmalig is kun ie eens bij logz.io kijken, die leveren hosted elk stack. Gaat je data wel naar de cloud.

Either way: dit soort oplossingen kosten geld en resources, hoe je het ook wendt of keert. Met yet gratis, zoek maar alvast een andere werkgever want dan worden je problemen alleen maar groter

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

dinsdag 8 februari 2022 11:00

Acties:

0 Henk 'm!

downtime

Everybody lies

The Eagle schreef op dinsdag 8 februari 2022 @ 08:56:
Klinkt als een typisch gebruik voor Logstash, al dan niet met Elasticsearch als backend en Kibana er bovenop. Beter bekend als de ELK stack opensource, je hebt alleen kennis en hardware nodig.

En dan kun je met Winlogbeat op de client daadwerkelijk de logs exporteren naar ELK. Da's waar ook. Ben dit product bij mijn werkgever wel eens tegen gekomen maar dacht dat het alleen voor webserver logs gebruikt werd. Maar ik zie nu dat Winlogbeat ook event logs kan exporteren.

dinsdag 8 februari 2022 11:57

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Bedenk ook even goed wat je wilt... wil je wel duizend werkplekken pro-actief gaan monitoren?

Of is het een betere keuze om meer in te zetten op self service en self healing? Werkplek issue's worden tegenwoordig echt niet meer getroubleshoot en verholpen. Een nieuw image terugplaatsen is vele malen sneller en lost issue's met 100% zekerheid op... Bij een goed ingerichte omgeving is dat men een uurtje wel klaar...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

dinsdag 8 februari 2022 12:02

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

TheIceWarrior schreef op maandag 7 februari 2022 @ 09:51:
Ik ben op zoek naar een tool...

Dan verhuis ik je topic even naar Serversoftware en Windows Servers

.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 8 februari 2022 12:42

Acties:

0 Henk 'm!

downtime

Everybody lies

Question Mark schreef op dinsdag 8 februari 2022 @ 11:57:
Bedenk ook even goed wat je wilt... wil je wel duizend werkplekken pro-actief gaan monitoren?

Of is het een betere keuze om meer in te zetten op self service en self healing? Werkplek issue's worden tegenwoordig echt niet meer getroubleshoot en verholpen.

Hoewel ik het deels met je eens ben zie ik ook wel meerwaarde in pro-actieve monitoring. Niet om elke error in het log te verhelpen (dat vind ik bij servers al onzin) maar wel om trends te volgen en issues te vinden die niet alleen maar incidenteel zijn. Misschien om een Top 10 aan meest voorkomende issues te vinden die je structureel op kan lossen.

Een nieuw image terugplaatsen is vele malen sneller en lost issue's met 100% zekerheid op... Bij een goed ingerichte omgeving is dat men een uurtje wel klaar...

Een nieuw image terug plaatsen lost issues niet met 100% zekerheid op als het probleem structureel is en juist veroorzaakt wordt door een fout in het image. (trust me, I've been there)

dinsdag 8 februari 2022 14:08

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Er zijn meerdere manieren om je problem management proces gevoed te krijgen met informatie. Eventlogmonitoring is daar slechts één van. TS moet goed nagaan wat voor zijn organisatie de beste werkwijze is. Ik zet niet dat TS geen eventlogs moet/mag gaan controleren, maar kijk wel goed naar de verhouding tussen baten en lasten.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 10 februari 2022 11:37

Acties:

0 Henk 'm!

T0ny

Je zou eens kunnen kijken naar Log Analytics binnen Azure, dan kan je centraal queries draaien en alerts inregelen.
Solarwinds Log Analyzer is ook een opties: https://www.solarwinds.com/log-analyzer

zaterdag 12 februari 2022 20:11

Acties:

0 Henk 'm!

ReZpie

Of pro-active remediations in sccm of intune zou nog een optie kunnen zijn?ook zitten er misschien mogelijkheden in de reporting van intune, dat zou met graph kunnen. Ik neem aan dat je wilt filteren op veel voorkomende errors op event id ofzo? Denk dat dat veel handiger is dan alle logs gaan monitoren.
Powershell is een prima tool en dan naar die api van je ticket systeem zetten.

dinsdag 15 februari 2022 22:23

Acties:

0 Henk 'm!

Skwydor

I use Fedora btw

Ook een optie is Telegraf data naar een InfluxDB laten sturen
Charts en inzichten daarna via Grafana

Of iets anders icm TICK of ELK stack
Voor Eventlogs is volgens mij graylog of Elastic search wat geschikter dan InfluxDB

Kan zeker, en makkelijk 'gratis' , maar uiteraard moet je er wel zelf tijd in stoppen en ergens de data hosten.

https://github.com/influx...ts/win_eventlog/README.md

Vraag

Alle reacties