Hello Community!
I hope one of you can help me...
I play with 'Windows Event Parser' and Event ID 4771.
In this Event, i want to get the Username, but i don't know how!?
QuoteFehler bei der Kerberos-Vorauthentifizierung.
Kontoinformationen:
Sicherheits-ID: ...
Kontoname: Administrator
Dienstinformationen:
Dienstname: krbtgt/K...
Netzwerkinformationen:
Clientadresse: ::1
Clientport: 0
Weitere Informationen:
Ticketoptionen: 0x40810010
Fehlercode: 0x18
Typ vor der Authentifizierung: 2
Zertifikatsinformationen:
Zertifikatausstellername:
Seriennummer des Zertifikats:
Zertifikatfingerabdruck:
Zertifikatinformationen werden nur bereitgestellt, wenn ein Zertifikat zur Vorauthentifizierung verwendet wurde.
Vorauthentifizierungtypen, Ticketoptionen und Fehlercodes sind in RFC 4120 definiert.
Wenn das Ticket eine ungültige Form hat oder beim Transport beschädigt wurde und nicht entschlüsselt werden kann, sind viele Fehler dieses Ereignisses möglicherweise nicht vorhanden.
<parser processALL="true" name="Fehlerhafte AD Anmeldung">
<macros/>
<rules>
<rule name="Fehlerhafte AD Anmeldung">
<match repeatInterval="0" reset="false">.*</match>
<event>Teams_Alarm_AD_Anmeldung</event>
<id>4771</id>
<agentAction action=""></agentAction>
</rule>
</rules>
</parser>
Hi!
By the way, we have two days of reading windows event log - one is agent log parser (set up in policy in template that is applied to agent) and the second is windows event log synchronization. Which one you are using? Anyways, both of these ways should work similarly on the following:
When netxms event is created, additional information from windows event should be added as parameters:
https://www.netxms.org/documentation/adminguide/log-monitoring.html#passing-parameters-to-events
If you your Teams_Alarm_AD_Anmeldung event in netxms event log and double-click it, you should see detailed information about the event, including values of it's parameters. Is the information you need present in these parameters?