Мониторинг: event ID

Event ID Мониторинг нужен всегда. К примеру Raid массива.  Этот перепост как антисклерозник. Вот оригинал

Вот полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows.

О том, как настроить аудит.

Контроллеры доменов

Event ID — (Категория) — Описание

1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.

2) 676, или Failed 672 или 4768
(Аудит событий входа в систему)
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.

3) 681 или Failed 680 или 4776
(Аудит событий входа в систему)
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.

4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.

5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.

6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя

7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа

8) 517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности

Вход и выход из системы (Logon/Logoff)

Event Id — Описание

528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)

Типы входов в систему (Logon Types)

Тип входа в систему — Описание

2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)

Коды отказов Kerberos

Код ошибки — Причина

6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена

Коды ошибок NTLM

Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание

3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему

P.S. Хотите полностью автоматизировать работу с журналами событий? Попробуйте новую версию NetWrix Event Log Manager 4.0, которая осуществляет сбор и архивирование журналов событий, строит отчеты и генерирует оповещения в режиме реального времени. Программа собирает данные с многочисленных компьютеров сети, предупреждает Вас о критических событиях и централизованно хранит данные обо всех событиях в сжатом формате для удобства анализа архивных данных журналов. Доступна бесплатная версия программы для 10 контроллеров доменов и 100 компьютеров.

Рубрика: Windows, Администрирование | Метки: | Добавить комментарий

Зачем директору сервер?: Разговорник

Zachem_Server Сценарии использования Windows Server 2008 R2

Windows Server – это ключ к построению эффективной IT-инфраструктуры.
Операционная система Windows Server 2008 R2 помогает организациям на-
ладить базовую сетевую инфраструктуру и расширить используемые воз-
можности серверной ОС. Благодаря этому компании могут сократить затра-
ты на оргтехнику, аппаратное обеспечение и администрирование, повысить
уровень безопасности системы и продуктивности сотрудников, а главное –
построить надежную основу для роста инфраструктуры и бизнеса.

Подробней в SERVER_Razgovornik, возможно анформация о лицензировании будет полезна (Правда о Win 2008 R2 И Win 2012)  тут

Рубрика: Windows | Метки: | Добавить комментарий

Performance: Утилита PAL и perfmon

PAL Был на встрече MCP и там узнал о утилите которая парсит лог от Perfmon.exe. В результате генерирует html отчёт

Подробней тут статья Комарова Михаила Microsoft MVP

Утилита PAL Автор Clint Huffman

 

PAL, имеет набор шаблонов для сборки счётчиков, для  первоначальной диагностики узкого горлышка у сервера стоит использовать шаблон SystemOverview.

Утилита PAL и perfmon по моему быстрый способ оценки производительности, без поднятия систем мониторинга, таких как System Center, cacti, Zabbix  и тд. Быстро бесплатно и на коленке.

1 Создаём сборщик логов Perfmon.exe при помощи утилиты logman

logman import SystemOverview -xml C:\PerfLogs\PAL\SystemOverview.xml
logman update SystemOverview -f bincirc -max 900
logman update SystemOverview -o C:\PerfLogs\PAL\SystemOverview.blg
logman start SystemOverview

2 После сборки логов генерируем скрипт POSH, при помощи утилиты PAL , или можно ей сразу и запустить.

Подробней и чётко в этой статье

 

Рубрика: Powershell, Windows, Администрирование | Метки: | Добавить комментарий

Powershell: Проверка Raid через Nagios

Задача: Организовать проверку состояния Raid массивов, в том числе и Soft raid. Решил написать унифицированный скрипт для проверки разных рейдов.

Сам скрипт  Check-Raid для проверки средствами Nagios.

Настройка Nagios:

define service {
name service: Raid Health
service_description Check RAID
use general
host_name [Имя хостов]
check_command check_raid

define command{
command_name check_raid
command_line $USER1$/check_nrpe -H $HOSTADDRESS$ -c raid -t 120
}

На Win сервер ставится клиент для Nagios. Я использую NSclien ++.

В конфиге, в раздел [/settings/external scripts/scripts] добавляем

raid = cmd /c echo c:\Путь\Check-Raid\Check-Raid.ps1; exit($lastexitcode) | powershell.exe -command -

Вроде всё. подробней о NSClient ++ :

Конфигурирование 3ware 9690SA-4I c помощью утилиты tw_cli.exe

 

Рубрика: *nix, Powershell, Windows, Разное | Добавить комментарий

Картофель: Мой урожай

С лева выкопал Синеву, с права сидерат после Жуковского

С лева выкопал Синеву, с права сидерат после Жуковского

Как-то решил попробовать картофель посадить. Купил по 2 кг «Жуковский ранний» и Голубизна»

Посадил, поливал, мульчировал скошенным газоном.  По 1 грядке посадил ростками в низ. Урожай такой грядки  меньше.

 

Вот что было:

С лева Жуковский, с права Голубизна

 

 

 

 

 

 

Пока росла, Голубизна заболела чем-то. Думаю со склада уже больная, так как у родственников с этой же закупки так же болела. Опрыскал бардоской, и вроде дальше не пошло. Нужно при посадке обрабатывать чем-то. Жука не было. Куст был крепкий. Уход минимальный, только мульча.

 

Урожай меня порадовал

Жуковский: Нематодоустойчив, устойчив к раку, имеет высокую отдачу ранней продукции с хорошими вкусовыми качествами, хорошейлежкостью и устойчивостью к механическим повреждениям.

Посадил в конце апреля 2 кг, выкопал около 10 кг. На фото не всё, часть уже в начале июля покушали.

 

 

 

Голубизна :  Отличный вкус, устойчивость ко многим заболеваниям, хорошая лежкость клубней.

Посадил в конце апреля 2 кг, выкопал около 15 кг.

 

P.S Мульчировать нужно очень хорошо или окучивать, Голубизна вся была на поверхности, кое-где позеленела.

Покупал в pole-st.ru

 

Рубрика: Разное | Добавить комментарий

КРЫМНАШ!!!

Не удержался и сделал заметку. Много раз ездил в Украинский Крым отдыхать, раз 10. Теперь Крым НАШ! Надеюсь погостим в Российском Крыму!

 

Рубрика: Разное | Добавить комментарий

Восстановление аккумулятора ноутбука

 

Как восстановить аккумулятор ноутбука

Как восстановить аккумулятор ноутбука

Понадобился мне новый аккумулятор для HP pavilion dv5. В наличии 2 не работающих. Посетила мысль, может можно из 2-х один собрать.  Мои аккумуляторы не заряжались, хотя  ОС Win писала что идёт зарядка, но % заряда не увеличивался. Погуглил, поговорил в курилке и начал. Хочу сказать, навыков не много, но есть дома паяльник и я малость умею им пользоваться 8)

Посмотрел видосы — Как восстановить аккумулятор ноутбука, пример ремонта

Часть 1 и Часть 2

Посчитал эти видосы наиболее авторитетными. Другие с бегающими на фоне тётками, мужиков в трусах и школьников 7Б класса несущих чушь, отсеял. Почитал статейки, и приступил. Друзья дали попользоваться IMAX B6, а без него думал буду применять метод описанный тут. Балансировка методом подключения нагрузки к банкам и выведения их к 0В

Понеслось:

Вскрыл коробку аккумулятора я ножом, разрезав по шву. Достал внутренности, во втором не доставал, так удобней, если нет необходимости доставать.

Проверил напряжение на выводах аккумулятора, его нет. Проверил на концах батареии, было 0,5В. Проверил по банкам. 1 живая. с 0,5В, другие 0В. Проверить  предохранитель не смог(не знаю как), отпаял минус от контроллера. Подключил к Imax как показано на 2м видео. Запустил баланс и увидел «connection break» . Решил заряжать по отдельности банки (пары). Увидел надпись «low voltage», погуглил и решил так: В режиме NiMh заряжал примерно минуту, поднял напряжение до 2,5, потом опять в режим liPo и зарядка. Так вылечил 2 банки. Пришло время третей и тут опять писк и «connection break».  Из видосов узнал, что LiPo аккумуляторы бывают с защитой от перегрева и взрыва. На плюсовом конце, под контактной площадкой есть выгнутая внутрь мембрана. При нагреве, газ выперает мембрану и контакт рвётся, предотвращая взрыв. Через отверстия(не сверлил, там есть по краям площадки отверстия), шилом\пинцетом попытался опустить мембрану обратно. С 3й попытки опустил. Появился заряд, о,7В и сразу «Пнул», «толкнул» аккумулятор в режиме NiMh.

После этого напряжение на всех банках было около 2,5В. Запустил балансировку, после зарядку. Припоял минусовой конец к контроллеру обратно. И ожидал ЧУДО. Думал какой я молодец, починил… Замерив напряжение на крайних контактах вывода аккумулятора я увидел, 1,4В и расстроился. Собрал корпус(без склейки) сунул в ноут и расстроился 2й раз. С начала шла зарядка аккумулятора, через 20 сек она остановилась и сообщил что не заряжается. Заряд 0%. Выключил ноут, оставил на зарядке на ночь, утром заряд 65%, но как только я вынул провод питания ноут вырубился. Подумал что, что-то пошло не так. При чём на 2х аккумуляторах. Я решил что делал я всё правильно, а проблема в том что в контроллере есть счётчик максимального количества циклов заряда\разряда. На этом и успокоился. А аккумулятор нашёл на авито.

UPD 26.02.2015

Что пошло не так.

Я не успокоился. Почитал форумы с умными и не очень мнениями и вот что я понял:

1- Порядок отпаивания аккумуляторов

Отпаивать аккумуляторы от контроллера нужно начиная с крайнего + и далее последовательно. Изолируйте отпаянные концы, они болтаются и прикасаются к контроллеру и коротят.

2- Проверка управляемого предохранителя

Предохранитель 12ah3

Сгоревший предохранитель

 

 

 

 

 

 

На моей плате был предохранитель 12ah3.  Напомню, я новичок в электротехнике. Проверил я его прозвонкой клемы 1-2 — нет 3-4 да  По совету я запаял его. Вот тоже описание ремонта. Припаял обратно аккумуляторы начиная от крайнего минуса и так далее. Предохранитель нагрелся, но не перегорел может не успел или я много напаял олова,  я расстроился так как не знаю как искать причину его нагрева.

 

Нужно искать причину перегорания предохранителя. Это всё происходило на контроллере 500-0405FA

 

500-0405FA HP EV06047

500-0405FA HP EV06047

После я взял аналогичный аккумулятор для HP Pavilion dv5 и его контроллер L89T 322SSSB-550A.

 

L89T 322SSSB-550A

L89T 322SSSB-550A

Отпаял аккумулятор начиная от  плюса, прогнал их до полной зарядки при помощи I-max и припаял обратно аккумуляторы, начиная от минуса. Пока припаивал пару раз коротнул банки между собой и контактом от банки на контроллер разок коснулся.

Припаял и увидел, что теперь греется модуль 29330 26С. На крайних выводах контроллера питание не наблюдалось, хотя до этого было ~2 В. Подключил к ноутбуку. ОС выдала сообщение что аккумулятор не найден.

Я думаю что я запарол оба контроллера. Буду думать…. Узнал что можно сбрасывать память контроллера, но для этого нужны программаторы. Буду искать…

P.S Тут полезная инфа: Ремонт батареи ноутбука и тут опыт чужой вот тут сводка по батареям

ПО
sbworkshop,
UBRT
HP Battery Check

BatteryMon 2.1
be2works
Battery Extender
Case

P.S Если кто знает что пошло не так, поделитесь опытом.

Слышал, если разомкнуть контакты батарей. То контроллер уходит в защиту и его больше не запустишь. Я пробовал с HP pavilion dv5

 

 

Рубрика: Паяльник | Добавить комментарий

USB-RS232:Reset Huawei Quidway s3900 series

Пришла мне задача сбросить настройки свитча Huawei Quidway s3900. У меня нет COM порта, нет кабеля консольного, нет инструкции, но есть общие представления о процессе. И сейчас ими поделюсь.

 

1 Поиск устройства usb to RS232

2 Поиск консольного кабеля RS 232 cisco

3 Поиск инструкции подключения к Huawei Quidway s3900 и инструкции по сбросу настроек

1 Нашёл эту штуку U232-P9 дали погонять.

Ставил драйвера по инструкции так как у меня Win 8.1.Под Win 7 плаг-энд-плей

Инструкция:
-Скачиваем всё необходимое
-Подключаем шнурок/устройство к компьютеру с Windows 7 и устанавливаем драйвера от Висты(PL-2303_Vista_Driver_Installer).
-Заходим C:\Windows и запускаем explorer.exe от имени Администратора.
-В открывшемся проводнике заходим C:\Windows\System32\Drivers
-Находим файлик ser2pl64.sys(~80-90 Кб) и копируем его на флешку.
-Подключаем шнурок/устройство к компьютеру с Windows 8.
-Устанавливаем драйвера на Windows 8(PL2303_Prolific_DriverInstaller_v1_10_0).
-Повторяем пункты 3-4 на компьютере с Windows 8.
-Копируем файлик ser2pl64.sys с флешки в C:\Windows\System32\Drivers, убедитесь что произведена замена.
-Перезагружаем компьютер или отключаем,подключаем устройство в диспетчере устройств.
-Радуемся.

2 Поиск консольного кабеля. Были кабеля, много все RS232-RS232, а мне нужен RS232-RJ45 от Cisco. Распиновку нашёл тут. Разобрал 1 кабель на донора и спаял.

3 Инструкцию по подключению и сбросу настроек нашёл

Подключение:

Bits per second:
9600
Data bits:
8
Stop bits:
1
Parity:
None
Flow control:
None
TermType:
VT100

Сброс:

Подключаемся к коммутатору через консольный порт.
Нажимаем ctrl+B и заходим в BootROM меню. Пароль для входа huawei.
Затем нажимаем ctrl+Z для входа в hidden меню.
Выбираем второй пункт для входа в меню для управления файлами на флеше.
Удаляем файл vrpcfg.cfg с флеш памяти.(Или там по циферкам!)
Перегружаем свич

Рубрика: Администрирование | Добавить комментарий

WDS:Добавление драйвера Error Code: 0xc1420127

При добавлени драйвера возникает собщение:

Error Occurred while trying to execute this command.
Error Code: 0xc1420127

 

Решение данного вопроса простое — удаление соответствущего временного ключа реестра по следующему пути:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WIMMount\Mounted Images

Если в данный момент работы не производится никаких действий с примонтированными образами операционных систем, можно удалять все ключи внутри этого пути — они будут выглядеть в виде веток-хешей внутри которых лежат стандартные наборы параметров монтированного образа.
После этого можно перезапустить службу WDS, и образ будет доступен для монтирования и проведения операций.

содрал тут

Рубрика: Windows | Метки: | Добавить комментарий

PowerShell: скрипта для установки WMI разрешений

Для установки разрешений WMI пространства имён (WMI namespace) Можно применить 2 способа

 

 

 

1 WMI + VBScript

  • Устанавливаем нужные нам права.
  • Получаем дамп прав.


wmic /namespace:\\root\msapps12  /output:sd.txt path __systemsecurity call getSD

  • пишем VBS скрипт и применяем полученный дамп(удалив пробелы из дампа)

Executing (__systemsecurity)->getSD()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ReturnValue = 0;
SD = {1, 0, 4, 128, 148, 0, 0, 0, 164, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 128, 0, 4, 0, 0, 0, 0, 18, 24, 0, 63, 0, 6, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 18, 20, 0, 19, 0, 0, 0, 1, 1, 0, 0, 0, 0, 0, 1, 0, 0, 0, 0, 0, 18, 20, 0, 19, 0, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 20, 0, 0, 0, 0, 18, 20, 0, 19, 0, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 19, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0};
};

2. Powershell скрипт Set-WmiNamespaceSecurity.ps1 или (тут)

Скачать можно Set-WmiNamespaceSecurity.ps1

Рубрика: Powershell, Windows | Добавить комментарий