WinMgmts

mister_pi
(usa Outra)

Enviado em 06/06/2011 - 09:40h

Olá pessoal.

Estou apanhando a algum tempo...
Preciso achar uma forma de ler os logs de Eventlog Security de alguns servidores Windows e guardá-los no meu servidos Linux.

Alguém poderia dar alguma dica? Apontar um caminho? Ou me falar para desistir?

TKS!

mister_pi
(usa Outra)

Enviado em 08/06/2011 - 16:57h

não desista!

sudo aptitude install wmi-client

mister_pi
(usa Outra)

Enviado em 22/09/2011 - 10:02h

que monólogo chato!!!
mas vamos lá...

estou usando o WMIC.
# wmic -V
Version 4.0.0tp4-SVN-build-UNKNOWN

com este utilitário consigo executar uma query bonitinha e filtrar o que me interessa coletar nos eventlogs.

# wmic -U MYDOMAIN/admuser%senha //fileserver.my.domain "SELECT Message, TimeGenerated from Win32_NTLogEvent Where Logfile = 'Security' And EventCode = '560'"

Com isso, aliado à configuração de auditoria no file system, consigo coletar eventos de deleção de arquivos em minha estrutura de file server, e fico sabendo quem deletou o que.
Funciona que é uma maravilha!
As vezes dá uns erros...
NTSTATUS: NT code 0x8004106c - NT code 0x8004106c
NTSTATUS: NT code 0x80041032 - NT code 0x80041032
Mas como estou coletando em looping, termino uma e começo outra, não estou perdendo eventos.

O problema é quando faço a coleta nos Domain Controlers.
Assim como nos file servers, também quero saber quem deletou, ou alterou, o que no AD. Tá tudo configuradinho e gerando os eventos.
Mas quando uso o WMIC para coletar sempre retorna erro... :(

# date; wmic -U DOMAIN/administrator //DC1.my.domain "select TimeGenerated, Message, EventCode from Win32_NTLogEvent Where Logfile = 'Security' AND EventCode = 642">/tmp/dc1.wmic; date
Fri Sep 9 09:37:30 BRT 2011
NTSTATUS: NT code 0xc002001b - NT code 0xc002001b
Fri Sep 9 09:38:34 BRT 2011

Se faço uma consulta "mais simples" o erro não ocorre...

# date; wmic -U DOMAIN/administrator //DC1.my.domain "Select NumberOfRecords from Win32_NTEventLogFile Where LogFileName = 'Security'"
CLASS: Win32_NTEventlogFile
Name|NumberOfRecords
L:\EVENT_VIEWER\SecEvent.Evt|188582

Usei a opção -d99 para detalhar mais...

[librpc/rpc/dcerpc.c:1118:dcerpc_request_recv()] librpc/rpc/dcerpc.c:1118: dcerpc_request_recv status = NT_STATUS_IO_TIMEOUT
[wmi/wmic.c:212:main()] ERROR: Retrieve result data.
NTSTATUS: NT code 0xc002001b - NT code 0xc002001b

Para contornar isso estou usando o logparser da M$, que tem o inconveniente de rodar localmente em cada DC e de lá envia os logs para o meu ambiente.

Vamos lá pessoal!
Falem alguma coisa!
Nem que seja "DESISTA"!!!