checkmk Monitoring Tool - einzelne Meldungen ignorieren

[joe2017]

Guten Morgen zusammen,

ich arbeite mit dem Monitoring Tool checkmk und bin von den Möglichkeiten sehr begeistert.
Jedoch werde ich nicht ganz schlau daraus wie man einzelne Log Meldungen deaktivieren kann.

Ich such keine Möglichkeit um einen gesamten Service zu deaktivieren. Das wäre nicht Sinn und Zweck des Ganzen.
Ich möchte lediglich einzelne Meldungen eines Servers (Windows Log Security) ignorieren.

Nutzt hier jemand dieses schöne Tool? Und könnt Ihr mir einen Tipp geben wo und wie ich das einstelle?

[Blackbox]

Da du nicht angegeben hast, ob du die Community Edition (Raw Edition), oder die kommerzielle Version (Enterprise Edition) verwendest, gehe ich davon aus, dass du die Community Edition verwendest?
Denn die kommerzielle Version besitzt unter anderem auch professionellen Support durch die tribe29 GmbH.
Für die Community Edition ist das offizielle Forum [0] die beste Möglichkeit zeitnah Antworten zu erhalten.
Und da erst kürzlich checkmk Version 2 released wurde, welche viele Änderungen zur Version 1 enthält, wäre es günstig gewesen, wenn du die von dir verwendete Version angegeben hättest.

[0] https://forum.checkmk.com/

[joe2017]

Guten Morgen Blackbox,

da hast du natürlich Recht. An diese Angaben habe ich aktuell nicht gedacht.
Version: 2.0.0p3 (Raw Edition)

[Blackbox]

Bevor ich tiefer in checkmk absteige, frage ich das Naheliegende ab.

Hast du mit Hilfe von

Code: Alles auswählen

$ omd config

das Windows Logging aktiviert, oder besser in deinem Fall deaktiviert?

[joe2017]

Ich möchte schon über alle Dinge informiert werden. Ich möchte keine Logs oder Services deaktivieren.
Ich möchte lediglich einige Meldungen (Warn/Crit) ignorieren.

[Blackbox]

Ich möchte lediglich einige Meldungen (Warn/Crit) ignorieren.

Definiere, wie du »ignorieren« verstanden wissen möchtest, um Missverständnisse auszuschließen.

[joe2017]

Naja, ich erhalte Meldung die ich als nicht erachtenswert ansehe.
Z.b. die Anmeldung eines Benutzers auf dem Terminalserver ist fehlgeschlagen. Ich muss nicht jede fehlerhafte Anmeldung sehen.

[Blackbox]

Z.b. die Anmeldung eines Benutzers auf dem Terminalserver ist fehlgeschlagen.

Siehe die Gedanken warum es doch sinnvoll sein kann, solche Ereignisse im Blick zu behalten.
(Gerade wenn es sich um Windowskisten handelt).

Ich muss nicht jede fehlerhafte Anmeldung sehen.

Das klingt für mich erst einmal so, als würde dein Regelwerk um einen Filter - Stichwort: Advanced Rule Property - erweitert werden müssen.
Informativ und hilfreich wäre, wie deine bisherige Regel aussieht, die auch, die von dir nicht gewollten Events Meldungen (fehlgeschlagene Anmeldungen) erzeugt.

Um es einmal etwas konkreter zu fassen, dass du keine erfolgreichen Anmeldungen sehen möchtest, ist verständlich, aber warum keine erfolglosen Anmeldungen, vor allem wenn diese gehäuft auftreten und so auf ein Problem hindeuten (könnten)?
Oder treten diese Ereignisse bei dir so oft auf, dass diese gesamten Prozess lähmen?

Und wäre es nicht sinnvoller für Tests die betreffende Regel stumm zu schalten?

Jetzt noch ein Tipp aus der Checkmk Praxis, je modularer du dein Regelwerk fasst, desto besser ist es später zu debuggen, bedeutet aber im Umkehrschluss auch, mehr Planung und mehr Zeit zur Umsetzung.

[joe2017]

200 Benutzer die sich ständig auf irgendeinem Server/Service falsch anmelden muss ich nicht wirklich sehen.
Wenn ein Benutzer gesperrt wird wäre natürlich etwas anderes.

Aber das war jetzt nur ein dummes Beispiel.
Ich habe gehofft es gäbe eine einfache Möglichkeit, einzelne Meldungen direkt zu ignorieren.

[MSfree]

200 Benutzer die sich ständig auf irgendeinem Server/Service falsch anmelden muss ich nicht wirklich sehen.

Wirklich nicht? Auch dann nicht, wenn eines der Konten für eine Brute-Force-Attacke mißbraucht wird?

[Blackbox]

Auch dann nicht, wenn eines der Konten für eine Brute-Force-Attacke mißbraucht wird?

Beispielsweise dieses Szenario habe ich versucht zu benennen.

Ich habe gehofft es gäbe eine einfache Möglichkeit, einzelne Meldungen direkt zu ignorieren.

Wenn du einfache Lösungen suchst, ist checkmk vielleicht nicht der richtige Ansatz, obwohl es bereits sehr viele, der nagios/incinga/2 Problemchen abfangen kann.
Ein zentrales Management zum Beispiel.

Aber welches Backend managed du eigentlich mit checkmk?

[heisenberg]

Es gibt ein gutes Check_MK Forum: https://forum.checkmk.com/

Da gibt's bestimmt schon 100 Threads zum Thema Windows und EventLog. Das hört sich nach einem Standardproblem an. Ich selbst arbeite da eher nicht mit Windows. Unter Linux macht man da einen Ignore-Regex auf LogZeilen. Weiss nicht, ob das unter Windows das gleiche Plugin ist.

Das ist z. B. ein scheinbar passender Thread:

https://forum.checkmk.com/t/filtering-t ... ckmk/26646