none
Уведомления о алертах RRS feed

  • Вопрос

  • Доброго времени суток. Возник маленький вопросик, в нете не смог найти к сожалению. Есть правило по условиям которого генерируется алерт, хватается событие безопасности и идет на почту с дискрипшеном. Приходит не корректно. Вот в чем причина. Событие произошедшее на сервере с агентом.

    Alert: Security Audit Event

    Source: srv-adc-02.domain.ru

    Path:

    Last modified by: System

    Last modified time: 21.04.2008 13:45:45

    Alert description: 642 User Account Changed:

                Target Account Name:    User

                Target Domain:          Domain

                Target Account ID:      Domain \User

                Caller User Name:       Adm5

                Caller Domain:          Domain

                Caller Logon ID:        (0x0,0x2579D4C3)

                Privileges: -

    Changed Attributes:

                Sam Account Name:       -

                Display Name:           -

                User Principal Name:    -

                Home Directory:         -

                Home Drive: -

                Script Path:            -

                Profile Path:           -

                User Workstations:      -

                Password Last Set:      -

                Account Expires:        -

                Primary Group ID:       -

                AllowedToDelegateTo:    -

                Old UAC Value:          0x10

                New UAC Value:          0x11

                User Account Control:  

                            Account Disabled

                User Parameters:        -

                Sid History:            -

                Logon Hours:            -

    Оно хватается и идет на почту, но приходит с небольшим искажением:

    Alert: Security Audit Event

    Source: srv-adc-02.domain.ru

    Path:

    Last modified by: System

    Last modified time: 21.04.2008 13:45:45

    Alert description: 642 User Account Changed:

                Target Account Name:    User

                Target Domain:          Domain

                Target Account ID:      Domain \User

                Caller User Name:       Adm5

                Caller Domain:          Domain

                Caller Logon ID:        (0x0,0x2579D4C3)

                Privileges: -

    Changed Attributes:

                Sam Account Name:       -

                Display Name:           -

                User Principal Name:    -

                Home Directory:         -

                Home Drive: -

                Script Path:            -

                Profile Path:           -

                User Workstations:      -

                Password Last Set:      -

                Account Expires:        -

                Primary Group ID:       -

                AllowedToDelegateTo:    -

                Old UAC Value:          0x10

                New UAC Value:          0x11

                User Account Control:  

                            %%2080

                User Parameters:        -

                Sid History:            -

                Logon Hours:            -

     

    А вот что не нравится: было - User Account Control:  

                            Account Disabled

    Стало - User Account Control:  

                            %%2080

    Вроде бы мелочь а глаз режет...помогите пожалуйста )
    21 апреля 2008 г. 12:00

Ответы

  • Если речь идет о представлении в алерте значения $Data/Context/EventDescription$, то как отобразилось  так отобразилось - тут ничего не поделаешь.

    23 апреля 2008 г. 14:33
    Модератор

Все ответы

  • Строка "портится" только в письме или в консоли алерт тоже с  %%2080?

    22 апреля 2008 г. 2:39
    Отвечающий
  • да в консоли алерты уже не читабельные (

    22 апреля 2008 г. 7:40
  • В общем вот что у меня есть сейчас по данному вопросу:

    UserAccountControl является изначально числовым параметром, и хранится как число. В удобочитаемое описание его превращает dll, которая пишет событие в эвентлог. На самом деле хранится в эвенте в raw, то есть как число. Нормального способа посмотреть его в таком виде в эвенте не существует ибо это преобразовывается dll, то есть чтобы посмотреть как это хранится в реальности нужно раскрыть dll и найти в ней строки с описаниями.

    Все необязательные параметры алертов (по сути все, кроме его заголовка) передаются OpsMgr-ом "как есть". Связанно это, насколько я понял, с локализациями продуктов. То есть логика такова: "У продукта может быть множество локализаций, поэтому передавать строковые представления таких параметров нехорошо. Это приведет либо к тому, что мы будем получать искаженные строки в некоторых локализациях, либо к тому, что мы будем передавать и хранить кучу избыточных данных (для всех локализаций), что тоже плохо".

    В общем, насколько я понимаю, сии "%%<число>" - нормальное поведение продукта, заложенное разработчиками.

    Почитайте сами в блоге разработчиков пост про анатомию и обработку событий 2008\Vista. Там сравниваются события нового типа и старого (на 2000\2003) и многое объясняется...

     

    Возможно Саша или Илья что-то больше знают на эту тему, если да, то я думаю, что они поправят или дополнят.

     

    22 апреля 2008 г. 12:43
    Отвечающий
  • Если речь идет о представлении в алерте значения $Data/Context/EventDescription$, то как отобразилось  так отобразилось - тут ничего не поделаешь.

    23 апреля 2008 г. 14:33
    Модератор