News:

We really need your input in this questionnaire

Main Menu

Windows Event Parser

Started by SmEed, November 23, 2023, 10:59:38 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions

SmEed

November 23, 2023, 10:59:38 AM Last Edit: November 23, 2023, 11:02:13 AM by SmEed
Hello Community!

I hope one of you can help me...
I play with 'Windows Event Parser' and Event ID 4771.

In this Event, i want to get the Username, but i don't know how!?

QuoteFehler bei der Kerberos-Vorauthentifizierung.
Kontoinformationen:
 Sicherheits-ID: ...
Kontoname: Administrator
Dienstinformationen:
 Dienstname: krbtgt/K...
Netzwerkinformationen:
 Clientadresse: ::1
 Clientport: 0
Weitere Informationen:
 Ticketoptionen: 0x40810010
 Fehlercode: 0x18
 Typ vor der Authentifizierung: 2
Zertifikatsinformationen:
 Zertifikatausstellername:
 Seriennummer des Zertifikats:
 Zertifikatfingerabdruck:
Zertifikatinformationen werden nur bereitgestellt, wenn ein Zertifikat zur Vorauthentifizierung verwendet wurde.
Vorauthentifizierungtypen, Ticketoptionen und Fehlercodes sind in RFC 4120 definiert.
Wenn das Ticket eine ungültige Form hat oder beim Transport beschädigt wurde und nicht entschlüsselt werden kann, sind viele Fehler dieses Ereignisses möglicherweise nicht vorhanden.

Code Select
<parser processALL="true" name="Fehlerhafte AD Anmeldung">
   <macros/>
   <rules>
      <rule name="Fehlerhafte AD Anmeldung">
         <match repeatInterval="0" reset="false">.*</match>
         <event>Teams_Alarm_AD_Anmeldung</event>
         <id>4771</id>
         <agentAction action=""></agentAction>
      </rule>
   </rules>
</parser>

Filipp Sudanov

#1
November 29, 2023, 10:42:01 AM
Hi!

By the way, we have two days of reading windows event log - one is agent log parser (set up in policy in template that is applied to agent) and the second is windows event log synchronization. Which one you are using? Anyways, both of these ways should work similarly on the following:

When netxms event is created, additional information from windows event should be added as parameters:
https://www.netxms.org/documentation/adminguide/log-monitoring.html#passing-parameters-to-events

If you your Teams_Alarm_AD_Anmeldung event in netxms event log and double-click it, you should see detailed information about the event, including values of it's parameters. Is the information you need present in these parameters?
Print
Go Up Pages1
User actions