Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Monitorización de Logs
#1
Buenas,

Estoy intentando mostrar los últimos diez Event Log de Windows mediante el modulo siguiente:
# Log events
module_begin
module_name System Events
module_type generic_data_string
module_exec cscript.exe c:\windows\system32\eventquery.vbs /R 10 /L System /V /FO LIST |grep.exe "Description"
module_description Log Events System
module_end

El problema  es, que en el Pandora me muestra la salida entera como un único registro. Yo necesito que cada línea la identifique como un registro independiente. En Linux con un simple tail –n 200 <log> funciona, pero en el caso de Windows no, me aglutina todas las líneas en un solo registro y esto lo hace difícil de interpretar.

¿Existe una forma  de decirle al pandora que interprete cada línea de forma independiente?

Saludos.

PD: En caso de que no se me entienda, adjunto dos ficheros, el de Linux es como necesito que se muestre y el de Windows es el que se muestra mal.


Attached Files


.jpg   Windows.jpg (Size: 71.8 KB / Downloads: 68)
.jpg   Linux.jpg (Size: 126.23 KB / Downloads: 77)
 Reply
#2
En su defecto, si nadie sabe como solucionarlo, me vendría bien algún módulo que muestre los logs de windows.
 Reply
#3
Revisando los agentes en debug, me encuentro que el agente Linux divide cada línea de la siguiente forma:

<data><value><![CDATA[Apr 22 04:02:33 sapache syslogd 1.4.1: restart.]]></value></data>
<data><value><![CDATA[Apr 23 21:29:44 sapache : error initializing: Network error: Connection reset by peer]]></value></data>
<data><value><![CDATA[Apr 24 04:02:38 sapache kernel:  CIFS VFS: No response for cmd 114 mid 39330]]></value></data>

Y Windows de la siguiente:

<data><![CDATA[ The Pandora FMS agent service entered the running state.    The Pandora FMS agent service was successfully sent a start control.    The Pandora FMS agent service was successfully sent a stop control.    The Pandora FMS agent service entered the stopped state.    The Pandora FMS agent service entered the running state.    The Pandora FMS agent service was successfully sent a start control.    The Pandora FMS agent service was successfully sent a stop control.    The Pandora FMS agent service entered the stopped state.    The Pandora FMS agent service entered the running state.    The Pandora FMS agent service was successfully sent a start control.  ]]></data>

¿Podría ser un error del agente de Windows?

Saludos.
 Reply
#4
Hola,
No se si es necesario ejecutar un plugin o un script adicional para sacar la info que necesitas (o semejante)
Pandora te brinda modulos de tipo logevent. Te copio parte de la documentación que trata el tema.

module_logevent acepta los siguientes parámetros (todos ellos case-sensitive):
•  module_source:  Origen  del  evento  (System,  Application,  Security).  Este  campo  es
obligatorio.
•  module_eventtype: Tipo de evento (error, information...). Es un campo opcional.
•  module_pattern: Patrón a buscar (subcadena). Es un campo opcional.
•  module_eventcode: Es un ID numerico del evento, p.e: 5112. Es un campo opcional.
•  module_application: Aplicación origen del evento, ojo, no confundir con module_source
que indica el nombre de la fuente o fichero log de donde se buscan los eventos.
Por ejemplo, para mostrar todos los eventos del sistema de tipo error definiríamos el siguiente
módulo:
module_begin
module_name log_events
module_type generic_data_string
module_description System errors
module_logevent
module_source System
module_eventtype error
module_end

Espero te sirva, Saludos,
Eduardo
 Reply
#5
Buenas,

Eso lo he probado, pero no era lo que buscaba exactamente, así que he encontrado recientemente algo que se asemeja a lo que busco:

module_plugin cscript.exe //B "%ProgramFiles%\Pandora_Agent\util\logevent_log4x.vbs" ...

Saludos y gracias. 
 Reply


Users browsing this thread: 1 Guest(s)


(c) 2006-2018 Artica Soluciones Tecnológicas. Contents of this wiki are under Create Common Attribution v3 licence. | pandorafms.com | pandorafms.org

Theme © MyBB Themes