Microsoft Operations Management Suite ricercare eventi particolari

Lo stumento di Microsoft che prende il nome di Operations Management Suite è effettivamente un ambiente molto potente ed articolato che può essere di aiuto per gli amministratori di sistema.

Nella console del portale sono disponibili già preconfigurate una buona serie di query legate alla sicurezza, così come viene eseguito in automatico un “Assesment” del sistema, ad esempio nel mio caso, relativamente ad un Domain Controller, sono sato “avvisato” che questo non aveva le impostazioni di rete corrette per la parte DNS.

Uno strumento molto potente è la ricerca all’interno del mare di eventi che sono archiviati dai vari agent, in questo articolo sono forntite una serie di informazioni ed esempi che possono aiutare molto chi dovesse iniziare con questo strumento.

Personalmente ho voluto realizzare una query che evidenzi tutti gli eventi di logon relativamente ad un gruppo di utenti amministratori il cui nome contiene “_” e due lettere “as”, l’evento codificato per il login di un utente corrisponde all’id 4624 quindi impostando la quey

Type=SecurityEvent AccountType=user Account=*_*as EventID=4624| measure count() as Logons by Account

ho potuto in modo semplice avere in evidenza gli accessi effettuati da questo gruppo di utenti.

Nel caso in cui fosse, come è necessario, rilevare anche i tentativi di accesso falliti,  sempre di questo gruppo di utenti, sarà sufficiente modificare la query con l’id evento che viene generato all’atto di un tentativo fallito di login ossia il 4625

Type=SecurityEvent AccountType=user Account=*_*as EventID=4625| measure count() as Logons by Account

se volessimo poi restringere la ricerca agli eventi di questo tipo occorsi nelle utime 6 ore sarà sufficiente modificare le query aggiungendo il seguente “filtro” TimeGenerated>NOW-6HOURS

e la query diventerà così:

Type=SecurityEvent AccountType=user Account=*_*as EventID=4625 TimeGenerated>NOW-24HOURS | measure count() by Account

nel caso in cui si debbano utilizzare caratteri jolly per la ricerca di determinati valori è bene ricordare che questi non possono esssere immessi come parte di una stringa racchiusa tra “” altrimenti verranno interpretati come caratteri oggetto essi stessi di ricerca.

Recentemente nel portale OMS è stata introdotta la possibilità di creare query personalizzate ed organizzarle in un pannello che può essere visualizzato direttamente da console, questo strumento si chiama View Designer e deve essere abilitato dalla gestione delle impostazioni nelle preview

 

20160911-oms-query-1

qui sotto è riportato un pannello composto da query personalizzate che può essere utile attivare per il controllo della propria infrastruttura

20160911-oms-query-2

OMS è valutabile gratuitamente per un periodo illimitato, ma con la limitiazione di conservazione dei dati di 7 giorni e per un massimo di 5oo MB giornalieri di log archiviati

Annunci

Un pensiero su “Microsoft Operations Management Suite ricercare eventi particolari

  1. Pingback: Operations Management Suite configurazione dell’agente Linux come Syslog Collector gateway verso Log Analitycs | Appunti e note tecniche

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...