Alertes mail pour des event system

Recherche :

Dernière réponse
Sujet : Alertes mail pour des event system
Guilz	arf :( merci tout de même pour tes conseil :jap: Je vais continuer à chercher ! Je n'abandonnerai pas si vite ! :D

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

Guilz

arf :(

merci tout de même pour tes conseil :jap:

Je vais continuer à chercher ! Je n'abandonnerai pas si vite ! :D

akabis

la tu fais un test avec des "ou"(",2,IAS," || ",3,IAS," ).
Il ne doit plus savoir ou il en est: je prend celui là ou celui ci?? lol
Essayes avec un "ET".

Et si ça marche pas, ben je crois qu'il va falloir se contenter de ça. C'est pas si mal que ça le tri par type, non? lol

Guilz

merci, j'avais essayé mais ça "range" les alertes par type ; tous les 2 d'abord, ensuite les 3...
je voudrais que ça reste dans l'ordre chronologique :)

akabis

Guilz a écrit :

Justement, j'ai fait mon extraction, elle se passe bien, et je veux faire le tri dans le fichier pour ne prendre que les erreurs et les warnings (en provenance de IAS dans mon cas)
J'ai donc :
dumpel -f logsystem.txt -l system -d 1 -c

type logsystem.txt | findstr (",2,IAS," || ",3,IAS," ) >>errors_warningsIAS.txt

avec en italique les 2 chaines que je souhaite repérer. L'une ou l'autre, ça marche. Mais je ne trouve pas comment prendre les 2. J'ai fait des tests avec des "or" des "||" ... mais rien de ce que j'ai tenté ne marche :( et c'est là mon soucis

Essayes ça:
type logsystem.txt | findstr (",2,IAS," ) >>errors_warningsIAS.txt
type logsystem.txt | findstr (",3,IAS," ) >>errors_warningsIAS.txt

les séparateurs ">>" permettent d'écrire à la suite sans écraser ce qu'il y a dans le fichier.
à la suite tu auras les erreurs et les warnings. Si l'un ou l'autre est vide, ça ne devrait pas poser de pb

Guilz

akabis

Je ne sais plus.
Fais le test en faisant une extraction:

dumpel -f resultat1.txt -s \\%1 -l system -d 1 -c

regarde ton fichier resultat1.txt
La commande "find" permet de rechercher une chaine de caractere (dans ce cas là)
Scrute ton fichier pour trouver ce qui correspond aux warnings

Guilz

Je découvre le avec joie tout cela :)

je me base sur ce que tu m'as présenté et j'essaie de modifier pour récupérer ce que je veux, et j'ai une petite question :

Code :

type resultat1.txt | find ",1," >>resultat.txt

ok, tu prends uniquement les lignes qui reportent des erreurs. Moi je voudrais les warnings également mais je ne trouve pas comment mettre les deux avec la commande "find" :(

Guilz

:sweat:

Spoiler :

moi y en a jamais avoir fait batch

:whistle:

akabis

je vois pas ou est le pb?!!

Le batch n°1 c'est des commande lié à dumpel + une simple écriture dans un fichier texte.

Le n°2 c'est une boucle for + des séparateurs pour que ce ne soit pas le bordel dans ton fichier texte + la reunion de t 3 log en un seul fichier.

a ça tu ajoutes un fichier texte ave le nom de tes serveurs.

Ca c'est du batch assez simple, c'est pas parcequ'il y a 2/3 commandes nouvelles.
Comparer à des sripts de lecture/ecriture/modif/comparaison de base de registre, c'est du pipi de chat lol

Guilz

j'espérais un peu ne pas avoir à monter un tel batch, mais je vais tout le même me lancer.

Merci beaucoup pour vos conseils et méthodes ! :hello:

akabis

je voulais dire qu'il y a de bon tuto pour apprendre à faire ce genre de batch

le_lapin

Mince, moi qui pensait qu'on avait des experts sur ce forum

des experts du copié collé ? :D

akabis

il y a de très bon tuto sur le web lol

le_lapin

Il y a de la maitrise de commande DOS dans l'air ;)

akabis

Guilz a écrit :

Bonjour à tous :hello:

j'ai mis en place un serveur 2003 IAS (RADIUS pour de connexions wifi) mais j'ai vu qu'en cas de tentatives de connexion ratée, cela crée une ligne dans le log system event.

Comment puis-je exploiter celà pour être averti en cas de tentative d'intrusion, brute force, etc... ?
Est-ce possible au moins ? quelle serait la meilleure façon d'être averti (mail, ...) ?

merci

Tu dois récupérer un programme qui s'appelle dumpel.exe
Il permet de lire les observateur d'evenement.
Ensuite tu crés un batch en .bat (voir ci dessous n°1, je ne récupère que les erreurs)
Pour l'envoi auto, tu utilises blat (voir ci dessous n°2).

Et voila, ça marche super bien. Tous les matins (si tu programmes ça le matin) tu reçois un petit mail avec les activité (ici les erreurs) des tes observateurs.

n°1 à mettre dans le dossier où tu va récuperer tes logs
------------------------------------------------------------------------------------

dumpel -f resultat1.txt -s \\%1 -l system -d 1 -c
dumpel -f resultat2.txt -s \\%1 -l application -d 1 -c
dumpel -f resultat3.txt -s \\%1 -l security -d 1 -c

echo ------------------------------------------------------------- >> resultat.txt
echo ---- %1 ---------------------------------------------- >> resultat.txt

echo -------- SYSTEMES ------------------------------------------- >> resultat.txt
type resultat1.txt | find ",1," >>resultat.txt

echo -------- APPLIS ------------------------------------------- >> resultat.txt
type resultat2.txt | find ",1," >>resultat.txt

echo -------- SECURITE ------------------------------------------- >> resultat.txt
type resultat3.txt | find ",1," >>resultat.txt
@cls

--------------------------------------------------------------------------------------

n°2
--------------------------------------------------------------------------------------

c:
cd\chemin de récup des logs
del resultat*.tx? 1>nul 2>nul

echo Analyse Automatique de la Securite : EVENTS LOGS >> resultat.txt

echo. >> resultat.txt

for /F %%i in (serveurs.txt) DO call checkerevent2.bat %%i

ECHO REPLACING SEPARATORS CHARACTERS
texrep ,:\09 resultat.txt
copy resultat.tx0 resultat.txt

blat resultat.txt -t adresse_destinataire -s "Rapport Logs systemes serveurs"

---------------------------------------------------------------------------

Tu mets ça sur 1 serveur et tu programmes avec le planificateur de taches.
Si tu as plusieurs serveurs, crées un fichier serveurs.txt (voir dessous comment le faire).

avec ça tu n'aura plus a te taper tous les serveurs pour lister les events logs

serveurs.txt(pas son chemin UNC, juste le nom => il faut être dans le même domaine, pas besoin d'être dans le même sous-reseau)
-------------------------------

nom du serveur1
nom du serveur2
nom du serveur3
nom du serveur4
nom du serveur5

sdeville

il faut utiliser un outil du marché pour superviser le contenu de l'Eventlog.
Sinon tu te fais une petite usine à gaz en batch:
extraction de l'eventlog toutes les 5 mn
recherche dans cette copie de l'ID recherché
Si l'ID est trouvé alors envoi de mail

Pour l'extraction: outil dumpel.exe
pour l'envoi de mail: des freewares SMTP existent (sendmail.exe, mailto.exe, wmailto.exe,...)
mais attention à la gestion de la taille du fichier extrait.
Le mieux est donc de faire un dumpel.exe en choisissant directement les logs à rechercher (je me souviens plus de la syntaxe)
Bon courage

Guilz

up :bounce:

Guilz