★関連記事はこちら↓
Windows Server 2016で定期的にAdvapiがログイン失敗 (イベントID 4625)する問題
https://tech-mmmm.blogspot.jp/2018/01/windows-server-2016-id-4625.html
結論としては、技術的な回避策はなく、運用にて回避するしかないという結論となった。ということで、運用回避策として、以下監視設定を実装することにした。
- 通常のログイン失敗(イベントID 4625)は検知
- 「Advapi」に関するログイン失敗(イベントID 4625)は検知しない
作業前提
対象のWindows Server 2016には、Zabbix Agentがインストールされており、セキュリティイベントログのアイテムが作成されていることが前提の手順となる。アイテムの作成手順については、以下別記事を参照すること。Zabbixを使ってWindowsとLinuxのログイン失敗を監視する
https://tech-mmmm.blogspot.jp/2017/06/zabbixwindowslinux.html
設定方法
1. Zabbixの画面にて、「設定」→「ホスト」を選択し、監視設定を行うホストの「トリガー」を選択する。
2. 右上の「トリガーの作成」を選択する。
3. 以下の通りトリガーを作成する。
------------------------------
・名前:Login Failuer for WinServ2016
・条件式:{t1082w216:eventlog[Security,,,,4625,,skip].regexp(".*ログオン プロセス.*Advapi.*")}=0
・障害イベントを継続して設定:チェック
・深刻度:軽度の障害
------------------------------
トリガーの条件式の補足説明
今回設定するトリガーの条件式の動作について補足説明しておこう。------------------------------
{t1082w216:eventlog[Security,,,,4625,,skip].regexp(".*ログオン プロセス.*Advapi.*")}=0
------------------------------
eventlog[Security,,,,4625,,skip]
これは「イベントログがSecurityでかつイベントIDが4625」のアイテムを示している。skipが指定されているが、これはZabbixが監視を開始した時点からの該当アイテムを取得する設定であり、skipを指定しない場合は、ログを最初から検索する動作が発生する。regexp(".*ログオン プロセス.*Advapi.*")
regexpは、アイテムの中に指定された正規表現に該当する文字列が存在するかどうかを調べる関数となる。取得したログイン失敗のイベントログの中に、「ログオンプロセス Advapi」の文字列が存在するかどうかを調べ、存在する場合は"1"、存在しない場合は"0"を返す。=0
今回の監視対象は、「ログオンプロセス Advapi」が存在しない場合となるので、関数の結果が0であることを条件とする。以上にて、「セキュリティイベントログのIDが4625で、かつ、"ログオンプロセス Advapi"の文字列が存在しない場合」、障害検知される設定となり、不要なログイン失敗の検知を防止することができるようになる。
0 件のコメント:
コメントを投稿