Aktionen

Zabbix:Template Windows Anmelde Fehlversuche

Aus znilwiki

Version vom 18. Februar 2021, 16:12 Uhr von BLinz (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „<u>'''Changelog:'''</u><br> * 18.02.2021 erste Version ---- ==Vorwort== Die Aufgabenstellung war es, alle Login-Fehlversuche unter Windows zu erfassen.<br> Bei…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Changelog:

  • 18.02.2021 erste Version

Vorwort

Die Aufgabenstellung war es, alle Login-Fehlversuche unter Windows zu erfassen.
Bei 3 Fehlversuchen innerhalb von 15 Minuten soll ein Trigger auslösen.

Das hier beschriebene Template macht folgendes:

  • Per PowerShell werden alle 10 Minuten die Login-Fehlversuche der letzten 15 Minuten abgefragt
  • Zusätzlich werden alle 10 Minuten alle Login-Fehlversuche aus dem Eventlog von Windows abgefragt
  • Es löst ein Trigger aus wenn es
    • Mehr als 3 Fehlversuche gab
    • und entsprechende Meldungen aus dem Eventlog abgefragt werden konnten (wir haben einen .last Wert!)
    • Der Trigger hat keine OK event generation sondern muss immer manuell geschlossen werden


Das ganze hat folgende Lücken/Schwächen:

  • Die Erfassung der Fehlversuche ist global pro Host. Wenn also 4 verschiedene Benutzer innerhalb von 15 Minuten alle einmal das Passwort falsch eingeben löst der Trigger auch aus
  • In einer Meldung kann der letzte Eventlog-Eintrag mit gesendet werden (ist in Description hinterlegt). Der Wert muss aber nicht der richtige sein. Es werden aber alle Ereignisse geloggt und können über Latest data eingesehen werden.



UserParameter

Der Zabbix-Agent muss mittels folgenden UserParameter in seiner Konfigurationsdatei erweitert werden:

# Check Login Failures
UserParameter=CheckLoginFailures[*],powershell "$TimeShift = (Get-Date).AddMinutes(-$1); (Get-WinEvent @{LogName='Security';ProviderName='Microsoft-Windows-Security-Auditing';ID=4625; StartTime=$TimeShift } -erroraction 'silentlycontinue' | measure).count"

Nach dem Eintrag muss der Agent einmal neu gestartet werden.

Testen lässt sich das im Anschluss per CMD-Aufruf:

zabbix_agentd.exe -c zabbix_agentd.win.conf -t CheckLoginFailures[15]
ClipCapIt-210218-160248.PNG



Template

Download: Datei:Znil Template Windows Login Failures Zabbix5.0.zip
Hochladen und dann dem Host zuweisen.


Screenshots

ClipCapIt-210218-161130.PNG


ClipCapIt-210218-161004.PNG


ClipCapIt-210218-161043.PNG



Kommentare

Loading comments...