By 1 Luglio 2020

UTILIZZO di NETWRIX per COLLEZIONARE Windows EVENT LOG

Netwrix Auditor (di per se) non arriva, con i suoi Monitoring Plans, a vedere il registro eventi di sistema (Event Log) di un Windows Server.
Per fare questo il Team Netwrix ha creato un apposito Tool per la lettura dei dati, il parsing e l’inserimento nel database in modo da poter essere utilizzati in Netwrix Auditor o in modo autonomo.

Il tools in dotazione, installato sul server Netwrix è : Netwrix Auditor Event Log Manager.
In questo Tool si può creare un Monitoring Plan per collezionare i dati da uno o più server.
Per ogni Monitoring Plan creato il sistema può inviare delle e-mail con alert precisi su uno o più eventi precisi. La prima schermata del Tools è molto semplice : si definisce la/le macchine e l’account di accesso utilizzato:

La scheda Notifications viene utilizzata per le impostazioni SMTP.
La scheda Audit Database viene utilizzata per “caricare” i dati rilevati dentro il database SQL Server Netwrix (vediamo dopo l’uso).
La scheda “avanzate” specifica l’orario delle notifiche ma se si utilizza la sezione ALERTS questi arriveranno dopo pochi minuti.

ALERTS (DIRETTI)

In questa sezione possiamo decidere di filtrare per un evento e/o una condizione che vogliamo monitorare.
Se, ad esempio vogliamo essere avvisati ogni volta che si verifica un certo eventi ID imposteremo qualcosa come di seguito (conviene aggregare l’e-mail per più eventi….altrimenti si verrà letteralmente bombardati di e-mail)

Nelle proprietà poi dell’evento andremo a definire dei dettagli:

Con queste impostazioni il Netwrix Auditor Event Log Manager è già in grado di procedere in autonomia, inviando un messaggio e-mail per ogni casistica rilevata.
Se però vogliamo inserire questi dati nel Netwrix Auditor per Archiviazioni, Filtri e Ricerche, bisogna procedere in questo modo :  nella prima schermata impostare “Audit Archive Filters”

Creare un filtro INCLUSIVO per gli eventi da registrare (come in Alerts):

Assicurarsi di specificare WRITE TO > Both.
Di default l’impostazione è “Long Term Archive”
Se non si mette l’impostazione BOTH , il Tools non caricherà i dati nel Netwrix DB
Ovviamente valgono gli altri campi come per gli ALERTS

A questo punto possiamo utilizzare Netwrix Auditor, nella sezione REPORTS :
Reports > Windows Server > Event Log > “All Event by Computer”
per visionare i dati importati, esempio:

Netwrix Auditor Event Log Manager, Netwrix Auditor Event Log, Netwrix Auditor Windows Event Log, Event Windows Netwrix Auditor, Event Id Netwrix Auditor, Visualizzatore eventi (Event Viewer), How to use Event Viewer in Windows, windows Visualizzatore eventi Netwrix Auditor

Posted in: Netwrix

About the Author:

shared on wplocker.com