Win2k3 Eventlog überwachen

Tux4Ever

Trainee

Posts: 53

Birthday: Aug 10th 1986 (26)

Gender: male

Location: Wolfsburg

Occupation: Fisi

Number of monitoring servers: 1

Nagios Version: 3.2

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 26

Number of services: 1799

OS: Ubuntu Server 9.10

Plugin Version: 1.4.14

NagVis Version: 1.4.6

NDO Version: 1.4b9

Other Addons: pnp4nagios 0.6.2, centreon 2.1.5

1

Friday, October 2nd 2009, 1:38pm

ahoi, ich wieder,

ich suche bei mir schon lange nach einem befehl wie ich das eventlog von meinen servern überwachen kann nur finde ich da ja mal null.
habe nagios 3.2.0 und den aktuellsten nsclient++ im einsatz.

habe den befehlt check_nt mit dem parameter -v EVENTLOG hier im forum gelsen aber das ist in meinem plugin irgendwie nicht enthalten... plugin version 1.4.13.

welches plugin benötige ich damit ich das überwachen kann ?

Go to the top of the page

sumse

Beginner

Posts: 50

Birthday: Aug 27th 1984 (28)

Gender: male

Location: Basel

Occupation: Systemtechniker

Number of monitoring servers: 1

Nagios Version: -

Icinga Version: 1.2.1

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 20

Number of services: 20

OS: Win Server 2008 R2, Ubuntu Server

Plugin Version: 1.4.15

NagVis Version: 1.5.9

IDO-Version: ..

Other Addons: NConf 1.2.6, NSClient++ 0.3.8

2

Friday, October 2nd 2009, 2:58pm

...wieso nutzt Du nicht den integrierten check von NSClient++ und schickst ihn dann mit NSCA?

http://nsclient.org/nscp/wiki/CheckEventLog

Go to the top of the page

cmies

Professional

Posts: 729

Birthday: Dec 31st 1980 (32)

Gender: male

Location: Montabaur /WW

Occupation: IT Consultant

Number of monitoring servers: viele

Hobbies: laufen, schwimmen, radfahren, Nagios, IT, tanzen

Nagios Version: 3.0.1 - 3.2.3

Icinga Version: -

Distributed monitoring: Ja

Redundant monitoring: Ja

Number of hosts: Viele

Number of services: noch viel mehr

OS: SuSE/OES/Debian/OpenBSD/CentOS

Plugin Version: 1.4.15

NagVis Version: 1.6

NDO Version: 1.4b9

Perfparse Version: -

Other Addons: SNMPTT; SMS_Client, NagVis, PNP0.4.7, DokuWiki, Eigene Plugins, NTOP, IPAudit, MRTG

3

Saturday, October 3rd 2009, 3:49pm

Wieso denn passiv als NSCA? Wir nutzen es bei unseren Kunden als NRPE.
Einige unserer Kunden setzen auch auf Eventlog 2 Syslog und dann ein auswerten via check_logfiles.

HTH

Gruß
Christian Mies
_______________________________________________________
Nagios Hilfe

Go to the top of the page

sumse

Beginner

Posts: 50

Birthday: Aug 27th 1984 (28)

Gender: male

Location: Basel

Occupation: Systemtechniker

Number of monitoring servers: 1

Nagios Version: -

Icinga Version: 1.2.1

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 20

Number of services: 20

OS: Win Server 2008 R2, Ubuntu Server

Plugin Version: 1.4.15

NagVis Version: 1.5.9

IDO-Version: ..

Other Addons: NConf 1.2.6, NSClient++ 0.3.8

4

Monday, October 5th 2009, 7:29am

...der integrierte Check von NSClient++ lässt sich sowohl für NSCA wie auch für NRPE verwenden..

Go to the top of the page

Tux4Ever

Trainee

Posts: 53

Birthday: Aug 10th 1986 (26)

Gender: male

Location: Wolfsburg

Occupation: Fisi

Number of monitoring servers: 1

Nagios Version: 3.2

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 26

Number of services: 1799

OS: Ubuntu Server 9.10

Plugin Version: 1.4.14

NagVis Version: 1.4.6

NDO Version: 1.4b9

Other Addons: pnp4nagios 0.6.2, centreon 2.1.5

5

Monday, October 5th 2009, 8:26am

guten morgen,

schonmal vielen lieben dank für die lösungsansätze aber ich kann damit leider nicht wirklich was anfangen... das mit dem NSClient++ und über NSCA klingt ja schonmal ganz gut nur wie setze ich das um?

was muss ich dafür auf meiner windows maschine tun und was auf meinem ubuntu/nagios-server???

Go to the top of the page

peddy

Intermediate

Posts: 457

Birthday: Sep 18th

Gender: male

Occupation: Administrator

Number of monitoring servers: 1

Nagios Version: 3.5

Distributed monitoring: Ja

Redundant monitoring: Nein

Number of hosts: 412

Number of services: 13669

OS: Debian

Plugin Version: 1.4.xx

Other Addons: OMD 0.58

6

Monday, October 5th 2009, 9:15am

Auf dem Windows Client muss das Eventlog Modul in der NSC.ini aktiviert sein. Alles weitere findest du hier und hier.

check_mk - Ein Nagios Plugin
OMD - Open Monitoring Distribution
Shinken - Ein Nagiosableger in Python

Go to the top of the page

Tux4Ever

Trainee

Posts: 53

Birthday: Aug 10th 1986 (26)

Gender: male

Location: Wolfsburg

Occupation: Fisi

Number of monitoring servers: 1

Nagios Version: 3.2

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 26

Number of services: 1799

OS: Ubuntu Server 9.10

Plugin Version: 1.4.14

NagVis Version: 1.4.6

NDO Version: 1.4b9

Other Addons: pnp4nagios 0.6.2, centreon 2.1.5

7

Monday, October 5th 2009, 10:19am

ok, was meine windowsmaschine angeht sollte es soweit klappen nur wo gneau muss ich welche einträge im nagios machen ?
schätze mal einmal in der command.cfg und in der services.cfg? wo noch und wie sollen diese aussehen?

habe von dem einem link folgenden command eingefügt
nur wo gehört das CheckEventLog application!10!20!12345 hin?

der link ist zwar sehr hilfreich nur ich weiß nicht wo ich was einzutragen habe und hoffe das ihr mir da helfen könnt ehe ich mir meine *.cfg's zerschieße...

Source code

Nagios Configuration: define command {
  command_name CheckEventLog
  command_line check_nrpe -H $HOSTADDRESS$ -p 5666 -c filter=new file="$ARG1$" MaxWarn=$ARG2$ MaxCrit=$ARG3$ filter-generated=\<2h filter-eventID=="$ARG4$" filter-eventType==error filter=in filter=all
}
CheckEventLog application!10!20!12345

Go to the top of the page

Tux4Ever

Trainee

Posts: 53

Birthday: Aug 10th 1986 (26)

Gender: male

Location: Wolfsburg

Occupation: Fisi

Number of monitoring servers: 1

Nagios Version: 3.2

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 26

Number of services: 1799

OS: Ubuntu Server 9.10

Plugin Version: 1.4.14

NagVis Version: 1.4.6

NDO Version: 1.4b9

Other Addons: pnp4nagios 0.6.2, centreon 2.1.5

8

Wednesday, October 7th 2009, 8:51am

also ich steige nun garnicht mehr durch.

was benötige ich um das eventlog zu überwachen und wie sieht das dann im nagios aus? in welchen configs muss ich was eintragen?
bin über einige sachen gestoßen und postings aus 2006 mit denen ich nichts anfangen kann weil ich keine service.cfg finde etc.

also hoffe ich stark das mir hier jemand helfen kann.

lg

tux

This post has been edited 1 times, last edit by "Tux4Ever" (Oct 7th 2009, 1:18pm)

Go to the top of the page

peddy

Intermediate

Posts: 457

Birthday: Sep 18th

Gender: male

Occupation: Administrator

Number of monitoring servers: 1

Nagios Version: 3.5

Distributed monitoring: Ja

Redundant monitoring: Nein

Number of hosts: 412

Number of services: 13669

OS: Debian

Plugin Version: 1.4.xx

Other Addons: OMD 0.58

9

Thursday, October 8th 2009, 7:25am

Vom Prinzip ist es egal wo du was einträgst, wenn man möchte können alle Einstellungen in nur einer Datei sein.

In der nagios.cfg kannst du eintragen wo Nagios nach Konfigdateien sucht. Das können entweder einzelne Dateien oder auch ganze Verzeichnisse sein. Wichtig ist nur die Dateiendung, sollte die nicht mit .cfg enden wird sie nicht verarbeitet.

Am besten du legst die eine Datei an in der alle Commands für NSClient++ drin stehen. Ein Eintrag könnte so aussehen:

	Source code
1 2 3 4	define command{ command_name check_nrpe_UpTime command_line /usr/lib/nagios/plugins/check_nrpe -H $HOSTADDRESS$ -p 5666 -c CheckUpTime -a ShowAll=long }

Nagios liefert eine Doku mit, wie Windows Rechner überwacht werden können. Seh dir darin an wie ein Host und ein Service definiert werden. Bei deinem Service kannst du dann check_nrpe_UpTime aufrufen und schon wird die Uptime überwacht. Mit dem Eventlog ist es vom Doing fast das gleiche.

check_mk - Ein Nagios Plugin
OMD - Open Monitoring Distribution
Shinken - Ein Nagiosableger in Python

Go to the top of the page

Tux4Ever

Trainee

Posts: 53

Birthday: Aug 10th 1986 (26)

Gender: male

Location: Wolfsburg

Occupation: Fisi

Number of monitoring servers: 1

Nagios Version: 3.2

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 26

Number of services: 1799

OS: Ubuntu Server 9.10

Plugin Version: 1.4.14

NagVis Version: 1.4.6

NDO Version: 1.4b9

Other Addons: pnp4nagios 0.6.2, centreon 2.1.5

10

Thursday, October 8th 2009, 8:24am

@peddy, danke für den post.

das mit den services definieren ist ja an sich kein problem. ob ich nun alles in eine .cfg zusammenziehe muss ich mal schauen. hauptsache es ist für den nächsten übersichtlich genug

also ich tue mich mit dem eventlog echt unglaublich schwer. ich steige nicht durch wie ich was und mit welchem command definieren muss damit ich mein eventlog auslese.

ich überwache ja schon den speicher, cpu, hhds und meine ganzen exchange dienste etc. alles kein problem und gut verständlich dokumentiert nur halt das eventlog macht mir zu schaffen... ok und wie ich meine 3com switche überwache aber dazu gibt einen anderen thread

Go to the top of the page

DigiArt

Trainee

Posts: 109

Birthday: Jul 23rd 1970 (42)

Gender: male

Location: Graz

Occupation: IT-Supporter

Number of monitoring servers: 1

Nagios Version: 3.2.0

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 195

Number of services: 990

OS: Fedora 9

Plugin Version: 1.4.12-9

NagVis Version: 1.4.2

Other Addons: mklivestatus, NagiosGrapher, NagVis

11

Thursday, October 8th 2009, 10:55am

Ich überwache die Eventlogs zwar nicht im Nagios, aber ich nutze die Funktion, um eigene Reports zu erstellen.

In der NSC.ini muss die Zeile mit "CheckEventLog.dll" nicht auskommentiert sein, und folgendes einfügen:

Quoted

[EventLog]
buffer_size=512000

Und die Abfrage gestaltet sich dann so:

Quoted

./check_nrpe -H host -p 3128 -c checkEventLog \
-a filter=in file=System filter+generated=\<$time filter+eventType==error \
filter-eventSource="LsaSrv" \
filter-eventSource="TermDD" \
filter-eventSource="LSASRV" \
filter-eventSource="TermServDevices" \
filter-eventSource="MSFTPSVC" \
filter-eventSource="Print" \
filter-eventSource="Removable Storage Service" \
filter-eventSource="Wins" \
filter-eventSource="Kerberos" \
filter-eventSource="NetBT" \
filter-eventSource="Schannel" \
filter-eventSource="atapi" \
truncate=1000 syntax="%generated% %source% %id%"

This post has been edited 1 times, last edit by "DigiArt" (Oct 9th 2009, 11:08am)

Go to the top of the page

Tux4Ever

Trainee

Posts: 53

Birthday: Aug 10th 1986 (26)

Gender: male

Location: Wolfsburg

Occupation: Fisi

Number of monitoring servers: 1

Nagios Version: 3.2

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 26

Number of services: 1799

OS: Ubuntu Server 9.10

Plugin Version: 1.4.14

NagVis Version: 1.4.6

NDO Version: 1.4b9

Other Addons: pnp4nagios 0.6.2, centreon 2.1.5

12

Thursday, October 8th 2009, 2:39pm

na das ist doch mal was.
aber wenn ich das über das terminal aufrufe dann kommt nur die meldung :
connection refused by host.

wo könnt da der fehler liegen?

Go to the top of the page

DigiArt

Trainee

Posts: 109

Birthday: Jul 23rd 1970 (42)

Gender: male

Location: Graz

Occupation: IT-Supporter

Number of monitoring servers: 1

Nagios Version: 3.2.0

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 195

Number of services: 990

OS: Fedora 9

Plugin Version: 1.4.12-9

NagVis Version: 1.4.2

Other Addons: mklivestatus, NagiosGrapher, NagVis

13

Thursday, October 8th 2009, 3:07pm

Der Port, der in der NSC.ini in der Rubrik [NRPE] angegeben ist, muss mit dem Port im Befehl (-p) übereinstimmen. Das hab ich anfangs auch übersehen....

Go to the top of the page

Tux4Ever

Trainee

Posts: 53

Birthday: Aug 10th 1986 (26)

Gender: male

Location: Wolfsburg

Occupation: Fisi

Number of monitoring servers: 1

Nagios Version: 3.2

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 26

Number of services: 1799

OS: Ubuntu Server 9.10

Plugin Version: 1.4.14

NagVis Version: 1.4.6

NDO Version: 1.4b9

Other Addons: pnp4nagios 0.6.2, centreon 2.1.5

14

Thursday, October 8th 2009, 3:14pm

ok, das hätte mir auch auffallen müssen. das läuft bei mir ja über port 5666
aber auch wenn ich bei dem befehl den port nun korrekt anngebe kommt die meldung
CHECK_NRPE: Socket timeout after 10 seconds
wo ist denn nun wieder der fehler?

Go to the top of the page

sumse

Beginner

Posts: 50

Birthday: Aug 27th 1984 (28)

Gender: male

Location: Basel

Occupation: Systemtechniker

Number of monitoring servers: 1

Nagios Version: -

Icinga Version: 1.2.1

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 20

Number of services: 20

OS: Win Server 2008 R2, Ubuntu Server

Plugin Version: 1.4.15

NagVis Version: 1.5.9

IDO-Version: ..

Other Addons: NConf 1.2.6, NSClient++ 0.3.8

15

Thursday, October 8th 2009, 5:10pm

...hast du den Nagios-Server als allowed Host eingetragen? und keinen der wichtigen Anweisungen auskommentiert? ( ; )

Go to the top of the page

Tux4Ever

Trainee

Posts: 53

Birthday: Aug 10th 1986 (26)

Gender: male

Location: Wolfsburg

Occupation: Fisi

Number of monitoring servers: 1

Nagios Version: 3.2

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 26

Number of services: 1799

OS: Ubuntu Server 9.10

Plugin Version: 1.4.14

NagVis Version: 1.4.6

NDO Version: 1.4b9

Other Addons: pnp4nagios 0.6.2, centreon 2.1.5

16

Thursday, October 8th 2009, 10:08pm

ich werde euch gleich wenn ich in der firma bin einfach mal meine nsc.ini posten, dann seht ihr was drin steht und dann kommen wir eher zu einem ergebnis

Go to the top of the page

Tux4Ever

Trainee

Posts: 53

Birthday: Aug 10th 1986 (26)

Gender: male

Location: Wolfsburg

Occupation: Fisi

Number of monitoring servers: 1

Nagios Version: 3.2

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 26

Number of services: 1799

OS: Ubuntu Server 9.10

Plugin Version: 1.4.14

NagVis Version: 1.4.6

NDO Version: 1.4b9

Other Addons: pnp4nagios 0.6.2, centreon 2.1.5

17

Friday, October 9th 2009, 8:31am

so, mal ein auszug aus meiner nsc.ini

erstmal die module:

Source code

[modules]
NRPEListener.dll
NSClientListener.dll
NSCAAgent.dll
CheckWMI.dll
FileLogger.dll
CheckSystem.dll
CheckDisk.dll
CheckEventLog.dll
CheckHelpers.dll
;# NSCLIENT++ MODULES
;# A list with DLLs to load at startup.
;  You will need to enable some of these for NSClient++ to work.
; ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! !
; *                                                           	*
; * N O T I C E ! ! ! - Y O U   H A V E   T O   E D I T   T H I S *
; *                                                           	*
; ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! !
FileLogger.dll
CheckSystem.dll
CheckDisk.dll
NSClientListener.dll
NRPEListener.dll
SysTray.dll
CheckEventLog.dll
CheckHelpers.dll
;CheckWMI.dll

hier das was zu NRPE aufgelistet ist:

Source code

[NRPE]
;# NRPE PORT NUMBER
;  This is the port the NRPEListener.dll will listen to.
port=5666
;
;# COMMAND TIMEOUT
;  This specifies the maximum number of seconds that the NRPE daemon will allow plug-ins to finish executing before killing them off.
command_timeout=60
;
;# COMMAND ARGUMENT PROCESSING
;  This option determines whether or not the NRPE daemon will allow clients to specify arguments to commands that are executed.
allow_arguments=1
;
;# COMMAND ALLOW NASTY META CHARS
;  This option determines whether or not the NRPE daemon will allow clients to specify nasty (as in |`&><'"\[]{}) characters in arguments.
allow_nasty_meta_chars=0
;
;# USE SSL SOCKET
;  This option controls if SSL should be used on the socket.
use_ssl=0
;
;# BIND TO ADDRESS
;  Allows you to bind server to a specific local address. This has to be a dotted ip adress not a hostname.
;  Leaving this blank will bind to all avalible IP adresses.
; bind_to_address=
;
;# ALLOWED HOST ADDRESSES
;  This is a comma-delimited list of IP address of hosts that are allowed to talk to NRPE deamon.
;  If you leave this blank the global version will be used instead.
allowed_hosts=192.168.10.1/32
;
;# SCRIPT DIRECTORY
;  All files in this directory will become check commands.
;  *WARNING* This is undoubtedly dangerous so use with care!
;script_dir=scripts\
;
;# SOCKET TIMEOUT
;  Timeout when reading packets on incoming sockets. If the data has not arrived withint this time we will bail out.
socket_timeout=30

[Check System]
;# CPU BUFFER SIZE
;  Can be anything ranging from 1s (for 1 second) to 10w for 10 weeks. Notice that a larger buffer will waste memory 
;  so don't use a larger buffer then you need (ie. the longest check you do +1).
CPUBufferSize=1h
;
;# CHECK RESOLUTION
;  The resolution to check values (currently only CPU).
;  The value is entered in 1/10:th of a second and the default is 10 (which means ones every second)
;CheckResolution=10
;
;# CHECK ALL SERVICES
;  Configure how to check services when a CheckAll is performed.
;  ...=started means services in that class *has* to be running.
;  ...=stopped means services in that class has to be stopped.
;  ...=ignored means services in this class will be ignored.
check_all_services[SERVICE_BOOT_START]=ignored
check_all_services[SERVICE_SYSTEM_START]=ignored
check_all_services[SERVICE_AUTO_START]=started
check_all_services[SERVICE_DEMAND_START]=ignored
check_all_services[SERVICE_DISABLED]=stopped

so schaut die bei mir aus.

Go to the top of the page

sumse

Beginner

Posts: 50

Birthday: Aug 27th 1984 (28)

Gender: male

Location: Basel

Occupation: Systemtechniker

Number of monitoring servers: 1

Nagios Version: -

Icinga Version: 1.2.1

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 20

Number of services: 20

OS: Win Server 2008 R2, Ubuntu Server

Plugin Version: 1.4.15

NagVis Version: 1.5.9

IDO-Version: ..

Other Addons: NConf 1.2.6, NSClient++ 0.3.8

18

Friday, October 9th 2009, 10:24am

Du lädst die DLLs 2Mal... dies bringt keinen Fehler, ist aber unnötig. Ich nehm an Du hast den Client mit dem Installer installiert, deshalb die oben geführten DLLs.

Könnte es allenfalls ein SSL Problem sein..?

Go to the top of the page

Tux4Ever

Trainee

Posts: 53

Birthday: Aug 10th 1986 (26)

Gender: male

Location: Wolfsburg

Occupation: Fisi

Number of monitoring servers: 1

Nagios Version: 3.2

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 26

Number of services: 1799

OS: Ubuntu Server 9.10

Plugin Version: 1.4.14

NagVis Version: 1.4.6

NDO Version: 1.4b9

Other Addons: pnp4nagios 0.6.2, centreon 2.1.5

19

Friday, October 9th 2009, 11:04am

ja wurde mit dem installer installiert.
kann die unnötigen eintrage ja mal rausnehmen.

also die konfig scheint wohl ok zu sein.
das mit dem SSL könnte sein...

welche infos kann ich euch hier geben damit wir dem fehler auf die spur kommen?

Go to the top of the page

DigiArt

Trainee

Posts: 109

Birthday: Jul 23rd 1970 (42)

Gender: male

Location: Graz

Occupation: IT-Supporter

Number of monitoring servers: 1

Nagios Version: 3.2.0

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 195

Number of services: 990

OS: Fedora 9

Plugin Version: 1.4.12-9

NagVis Version: 1.4.2

Other Addons: mklivestatus, NagiosGrapher, NagVis

20

Friday, October 9th 2009, 11:08am

Sieht eigentlich ganz normal aus.

Bei allowed_hosts brauchst du das /32 nicht angeben (ohne die Angabe ist auch nur _dieser_ Host berechtigt).

Du kannst das Logging ja mal aufdrehen, und nachsehen, ob die Anfragen überhaupt erkannt werden. Ich habe zwischendurch auch immer wieder Socket Timeouts, aber nur bei Hosts, die hinter einer Firewall hängen. da macht mir ab und zu diese Firewall einen Strich durch die Rechnung...

Go to the top of the page

Monitoring-Portal