Aktionen

Zabbix:Template Windows Anmelde Fehlversuche: Unterschied zwischen den Versionen

Aus znilwiki

 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 32: Zeile 32:
==Template==
==Template==
'''<big>Download: [[Media:Znil_Template_Windows_Login_Failures_Zabbix5.0.zip|Znil_Template_Windows_Login_Failures_Zabbix5.0.zip]]</big>'''<br>
'''<big>Download: [[Media:Znil_Template_Windows_Login_Failures_Zabbix5.0.zip|Znil_Template_Windows_Login_Failures_Zabbix5.0.zip]]</big>'''<br>
Hochladen und dann dem Host zuweisen.<br>
Ent-Zippen, Importieren und dann dem Host zuweisen.<br>
<br>
<br>
----
----
Zeile 38: Zeile 38:
==Screenshots==
==Screenshots==
:[[Datei:ClipCapIt-210218-161130.PNG]]<br>
:[[Datei:ClipCapIt-210218-161130.PNG]]<br>
:[[Datei:ClipCapIt-210218-161444.PNG]]<br>
<br>
<br>
:[[Datei:ClipCapIt-210218-161004.PNG]]<br>
:[[Datei:ClipCapIt-210218-161004.PNG]]<br>
Zeile 44: Zeile 45:
<br>
<br>
----
----
==Kommentare==
==Kommentare==
<comments />
<comments />

Aktuelle Version vom 18. Februar 2021, 16:15 Uhr

Changelog:

  • 18.02.2021 erste Version

Vorwort

Die Aufgabenstellung war es, alle Login-Fehlversuche unter Windows zu erfassen.
Bei 3 Fehlversuchen innerhalb von 15 Minuten soll ein Trigger auslösen.

Das hier beschriebene Template macht folgendes:

  • Per PowerShell werden alle 10 Minuten die Login-Fehlversuche der letzten 15 Minuten abgefragt
  • Zusätzlich werden alle 10 Minuten alle Login-Fehlversuche aus dem Eventlog von Windows abgefragt
  • Es löst ein Trigger aus wenn es
    • Mehr als 3 Fehlversuche gab
    • und entsprechende Meldungen aus dem Eventlog abgefragt werden konnten (wir haben einen .last Wert!)
    • Der Trigger hat keine OK event generation sondern muss immer manuell geschlossen werden


Das ganze hat folgende Lücken/Schwächen:

  • Die Erfassung der Fehlversuche ist global pro Host. Wenn also 4 verschiedene Benutzer innerhalb von 15 Minuten alle einmal das Passwort falsch eingeben löst der Trigger auch aus
  • In einer Meldung kann der letzte Eventlog-Eintrag mit gesendet werden (ist in Description hinterlegt). Der Wert muss aber nicht der richtige sein. Es werden aber alle Ereignisse geloggt und können über Latest data eingesehen werden.



UserParameter

Der Zabbix-Agent muss mittels folgenden UserParameter in seiner Konfigurationsdatei erweitert werden:

# Check Login Failures
UserParameter=CheckLoginFailures[*],powershell "$TimeShift = (Get-Date).AddMinutes(-$1); (Get-WinEvent @{LogName='Security';ProviderName='Microsoft-Windows-Security-Auditing';ID=4625; StartTime=$TimeShift } -erroraction 'silentlycontinue' | measure).count"

Nach dem Eintrag muss der Agent einmal neu gestartet werden.

Testen lässt sich das im Anschluss per CMD-Aufruf:

zabbix_agentd.exe -c zabbix_agentd.win.conf -t CheckLoginFailures[15]
ClipCapIt-210218-160248.PNG



Template

Download: Znil_Template_Windows_Login_Failures_Zabbix5.0.zip
Ent-Zippen, Importieren und dann dem Host zuweisen.


Screenshots

ClipCapIt-210218-161130.PNG
ClipCapIt-210218-161444.PNG


ClipCapIt-210218-161004.PNG


ClipCapIt-210218-161043.PNG



Kommentare

Loading comments...