Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Modulo deshabilitado en consola Web
#1
Buenos días,

En las configuraciones que hemos realizado, hemos creado unos Scripts para Windows mediante WMI y hemos creado el modulo correspondiente en el archivo de configuración del pandora (pandora_agent.conf).

Por otro lado, este modulo, al mostrarse en la consola Web del Pandora, lo hemos dejado deshabilitado y la idea era activarlo para que se ejecute en un momento determinado.

Lo que hemos observado es que aunque lo tengamos desactivado des de la consola web, este Script se lanza y claro, lo habíamos creado para actualizar un log cuando se observa una casuística. ¿Hay alguna forma de que no sea así, sino que se ejecute cuando lo necesitemos? ¿alguna idea?

Saludos,
 Reply
#2
Podeis programarlo mediante la directiva module_interval para que se habilite solo cada X tiempo. Es la unica forma que se me ocurre, la verdad que seria una buena idea poder programar un modulo para que se ejecute solo entre cierta franja horaria, pero ahora mismo no está implementado.
 Reply
#3
Gracias por la respuesta.

Esta es una opción, pero parece no ajustarse a las necesidades, porque siempre se ejecutará cuando le toque y me puede modificar unos logs que no se debería hasta su revisión.

Lo seguiremos estudiando a ver como lo hacemos. Probablemetne los quitemos y se ejecutarán manualmente cuando corresponda.

Saludos,
JM.
 Reply
#4
Prueba esto otro:

Haz un un custom module en el server que vaya evaluando el disparador X (un log por ej.) y cuando sea positivo que lo lanze.

Yo tengo en los agentes de windows un modulo que me va mirando si hay un pendrive conectado, cuando lo detecta mediante un vbs me mira la letra de la unidad y me crea un bat que me mira si tiene un autorun.inf (síntoma de muchos troyanos) y me lo borra, y a la vez me lo comparte con el $ (oculto) y con permisos para administrador.
Luego tengo otro modulo que siempre se esta ejecutando, pero cómo no siempre hay un usb puesto, pues no siempre existe funciona, con lo cual sólo se ejecuta cuando hay un usb que es cuando esta ese .bat.

si necesitas ayuda en profundidad postea el condicionante para disparar el modulo y lo que queréis y cómo lo queréis e intentaré echaros un cable.
 Reply
#5
Buenos días,

Gracias por la información, lo que no tengo claro es como gestionas el "custom module". ¿Se haría desde al consola WEB como modulo de servidor WMI?. Si me peudes indicar por donde empezar la revisaré a ver si la solución se ajusta.

Gracias por el soporte.

Saludos,
JM
 Reply
#6
Para poder ayudarte mejor, necesitaría saber de que tipo de scripts hablamos y de ese log que casuística ha de tener para que se lance.
 Reply
#7
Buenos días,

Te comento, son VBScripts con consultas WMI. El procedimiento es el siguiente:
1.- En la primera revisión, si se cumple una condición, se dispara alerta, envío un mail y modifico un log que indica alerta lanzada.
2.- En la segunda comprobación, se revisa el log y se actualiza el log indicando que la alerta ya ha sido enviada, no se envía mail pero se registra evento en pandora.
3.- En las sucesivas comprobaciones, como miro el log solo registro eventos en pandora.

Tras revisar este problema (la alerta lanzada) y tratarlo, quiero lanzar un Script que me modifique el log indicando que se ha tratado la alerta, con lo que ya no se registra mas eventos en el pandora.

Si tienes alguna duda del proceso me lo haces saber y seguimos comentándolo.

Saludos,
JM
 Reply
#8
prueba ha hacer esto, se que es muy guarro, pero las soluciones sencillas son las que mejor funcionan.

lo que puedes hacer son dos módulos con 2 scripts y nombres diferentes y alertas diferentes en el pandora (por ejemplo)
1 para las 2 primeras alertas
y el otro que se lanzará cuando se alcance una tercera comprobación

cómo saber el numero de alerta (ahora viene lo guarro)
en el 1er script con wmi que ejecutas, haz esto:

cont=0# por defecto 0
leo un fichero "alerta evaluada.txt"
cont=contenido del fichero "alerta evaluada.txt" se modifica si es diferente
if cont<3 then # no hay alerta o no ha alcanzado la tercera evaluación
grabo un 0 en el "alerta evaluada2.txt" para apagar la alerta2 si estubiese lanzada
prosigo con toda la ejecución.
if ay algo mal, cont=cont+1 para lanzar la alerta1, envio el mail y modifico el log
end if

:end
grabo en el fichero el contador si se a modificado
if cont >0 y < 3 then
echo 1
else # todo funciona bien o ya ha alcanzado la tercera y apago esta alerta por que se lanzará la alerta2
echo 0
end if
# con este echo if 1 el modulo se activa y el pandora ha de lanzar la alerta if 0 la alerta esta apagada

fin

script 2
leo el "alerta evaluada.txt"
if cont=>3 then
ejecuto lo tenga que hacer
pongo 0 en el "alerta evaluada.txt"
# de esta manera se apagará la alerta del primer modulo
grabo un 1 en "alerta evaluada2.txt"
# me indica que ya se ha tratado
else
goto end
end if

leo el "alerta evaluada2.txt"

if se a tratado la alerta then
echo 1
else
echo 0
end if
# con este echo if 1 el modulo se activa y el pandora ha de lanzar la alerta "SE HA TRATADO LA ALERTA CORRECTAMENTE" if 0 la alerta esta apagada

fin


no se si me he explicado correctamente pero la idea es:

el primer script evalua del 0 al 3
si hay alerta2 la apaga por que ya se a tratado
y si ay algo mal lanza la alerta1

el segundo script se ejecuta cuando la alerta1 es = 3
hace lo que tenga que hacer
lanza la alerta2 diciendo que se a tratado
y apaga la alerta1 por que no se esta evaluando sino que ya se ha tratado.


si no entiendes algo dilo e intentaré explicarme mejor.
 Reply
#9
Agradecer la información,

En cuanto tenga un momento lo reviso y te comento.

Saludos,

JM.
 Reply
#10
Agradecer la información,

En cuanto tenga un momento lo reviso y te comento.

Saludos,

JM.
 Reply


Users browsing this thread: 1 Guest(s)


(c) 2006-2018 Artica Soluciones Tecnológicas. Contents of this wiki are under Create Common Attribution v3 licence. | pandorafms.com | pandorafms.org

Theme © MyBB Themes