WINDOWS. PS. Eventvwr insert event

 Purpose

Write a event into Windows eventViewer. It is very util to register some task.

Dificulty: Low 

COMMAND:

if(-not([System.Diagnostics.EventLog]::SourceExists("MySourcex"))){
    New-EventLog -LogName 'Application' -Source 'MySourcex'
}
Write-EventLog -LogName 'Application' -Source 'MySourcex' -EventId 6123 -EntryType Information -Message 'Check Test Log 66123 GoB'

References:

 https://docs.microsoft.com/en-us/dotnet/api/system.diagnostics.eventlog.sourceexists?redirectedfrom=MSDN&view=dotnet-plat-ext-6.0#overloads

 https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/write-eventlog?view=powershell-5.1

by GoN | Published: Mar 9, 2022 | Last Updated: 

WINDOWS. PS. Event Viewer. Search Events

If you have some Domain Controlers and you need look for a special event, you can use this command:

[ ] Search for ALL domain controllers

COMMAND: Get-Eventlog –ComputerName ([System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()).FindDomainController() “Security” -InstanceID “4740” -Message *”USERNAME”* | Format-List Timegenerated, Message

[ ] Search for one domain controllers

COMMAND:  Get-Eventlog -ComputerName xxxxDC01 “Security” -InstanceID “4769” | Format-List Timegenerated, Message

COMMAND: Get-Eventlog -ComputerName ServerDC “Security” -InstanceID “4740” -Message *”USERNAME”* | Format-List Timegenerated, Message


Other options are use the Windows event forwarder. http://gonsystem.blogspot.com.es/2016/07/windows-suscripciones-y-envio-de.html

REF: http://jeffwouters.nl/index.php/2012/05/powershell-searching-for-the-cause-of-a-user-account-that-keeps-getting-locked-out/

Check at Windows 2012 R2
by GoN | Published: September 14, 2017 | Last Updated: 

PS. Windows. Eventos 4740 y 4767. Lockout and UnLockout Users

La finalidad de este post es estar informado de los bloqueos y desbloqueos de usuario que podemos tener en nuestro AD.

El script que se propone nos informará de quien esta bloqueado, desde que máquina, quien lo desbloquea, cuando....

Hay que hacer dos tareas y dos scripts, uno para el bloqueo y otro para el desbloqueo

Script:
*****************************************************************
# ---------------------------------------------------
# Original Script: C:\scripts\accountLockout.ps1
# Version: 0.1
# Author: 
# Date: 
# Description: Using PowerShell to locate las lockout account and send mail to Admins.
# Comments: Conditions: Script is launched when Event ID 4740 is registered.
# ---------------------------------------------------

$SmtpServer = "11.11.11.1"
$To = "sistemas@miermpresa.com"
$From = "ActiveDirectoryLockOut@midominio.es"
$Event = Get-EventLog -LogName Security -InstanceId 4740 -Newest 1 
#Store the newest log into email body 
$EmailBody= "** Script generado en MI_SERVIDOR cada vez que se bloquea un usuario **" + "`r`n`t" + " " + "`r`n`t" + $Event.Message + "`r`n`t" + $Event.TimeGenerated
#Email subject 
$EmailSubj= "AD - MI_SERVIDOR - User Account locked out" 
#Create SMTP client 
$SMTPClient = New-Object Net.Mail.SMTPClient($SmtpServer)   
#$SMTPClient.EnableSSL = $true  
#Get the credetials 
#$SMTPClient.Credentials = New-Object System.Net.NetworkCredential($UserName, $PassWord);  
#Create mailmessage object  
$emailMessage = New-Object System.Net.Mail.MailMessage 
$emailMessage.From = "$From" 
Foreach($EmailTo in $To) 
{ 
 $emailMessage.To.Add($EmailTo) 
} 
$emailMessage.Subject = $EmailSubj 
$emailMessage.Body = $EmailBody 
#Send email 
$SMTPClient.Send($emailMessage)

*****************************************************************

El resultado debería ser algo parecido a lo siguiente

El mismo script es para los dos eventos 4740 y 4767 con las modificaciones evidentes. La gracia es darlo de alta bien en el planificador de tareas.

Un caso curioso que suele pasar a la gente y nos puede ser útil este post, es para los que que nos conectados a muchos servidores de vez en cuando y cerramos la conexión sin cerrar la sesión, con lo que esa sesión puede estar abierta mucho tiempo.  El problema pasa cuando durante ese periodo de tiempo nos cambiamos la contraseña y cada poco rato vemos que se nos bloquea el usuario misteriosamente. La causa es que al no haber cerrado esa sesión nuestro usuario permanece conectado y de vez en cuando el AD va haciendo comprobaciones. El AD al darse cuenta que no tiene la nueva contraseña lo bloquea. La locura es ver en cuantos ordenadores nos hemos dejado el usuario abierto y cerrar nuestra sesión y con este email una de las cosas que nos dice es en que ordenador se nos está bloqueando nuestro usuario.

GoN. Septiembre 2016

WINDOWS. Suscripciones y envío de eventos (Event Subscriptions - Forwarding)

En este post explicaré como configurar un servidor centralizado de eventos de Windows y como configurar un cliente para que envíe sus eventos.

Esta configuración da un montón de posibilidades para tener una mejor visión de lo que está ocurriendo en nuestros servidores.

Alta de los hosts

 [SERVIDOR] Configurar el Servidor que centralizará los log (Collector)

 Abrir un cmd como administrador y ejecutar: Wecutil qc

[CLIENTE] Configuramos el cliente (Source)

Configuración de los hosts

[CLIENTE] Abrimos el Server Manager en el cliente.

Añadimos en el servidor cliente (Source) al grupo administradores locales la máquina a la que se enviarán los logs (Collector)

[SERVIDOR] Configuración del Servidor de log (Collector)

Abrimos el visor de eventos (eventvwr) y hacemos lo siguiente:

Ponemos un nombre y una descripción

Añadimos los servidores que queremos centralizar en “Select Computers…”:

Desde el menú de "Select Events..." especificaremos que eventos nos interesa que nos reenvíen los clientes

Al salir veremos que todo ha ido OK

La manera de comprobar que está funcionado es en la pestaña "Forwarded Events"

Habría que preparar el "Forwarded Events" para recibir un gran volumen de información:

Si queremos optimizar o cambiar de puertos

Más Info: 

https://blogs.technet.microsoft.com/askds/2011/08/29/the-security-log-haystack-event-forwarding-and-you/

GoN. Jul2016

Deprecated. Envio aviso de evento por email.

Hasta no hace mucho enviar un email cuando aparecía cierto suceso era tan simple como hacer lo siguiente:

Nos vamos al evento, lo elegimos y le damos boton derecho "Attach tack.."

Podemos poner algún dato que nos informe porque lo hacemos.

 Siguiente

 Elegimos poner un email

Ponemos los datos que nos interese

Siguiente

Y nos da un error!!!  2147750704

Con lo que podemos hacer por otra vía. Elegiremos "Start program"

El contenido el script xxxx.ps1 serían las siguiente 2 líneas:

$PSEmailServer = "22.22.22.22"
Send-MailMessage -From "Origen@casa.es" -To "destino@sucasa.es" -Subject "Asunto Problema en el servidor" -Body "Cuerpo Mirar el problema"

Si así no se ejecuta poner

powershell xxxx.ps1

http://gonsystem.blogspot.com.es/2015/01/avisos-del-visor-de-eventos.html

GoN. Junio 2015

Avisos del Visor de Eventos.

Si estamos teniendo problemas en un servidor y nos interesa que nos avise de alguna manera o haga una acción cuando pase algún evento, tenemos una manera sencilla de configurarlo.

Ejecutamos el visor de eventos (eventvwr) donde iríamos a mirar que está pasando. Selecionamos el evento que queremos que nos avise, en este caso Sistema -> ID 7036 y pulsamos botón derecho, ahora marcamos "adjuntar tarea a este evento..."

Nos saldrá la siguiente pantalla donde podemos hacer nuestras anotaciones.

Seguimos aceptando

Elegimos que nos envíe un email

Rellenamos la siguiente información

Si marcamos "Abrir el diálogo..." nos permite revisar lo que hemos hecho y modificarlo.

Para tener un control de todo lo que hemos configurado nos tenemos que ira a Programador de Tareas-> Biblioteca del programador de tareas -> Tareas del Visor de eventos

Probado en un Windows Server 2008 R2

Actualizado: http://gonsystem.blogspot.com.es/2015/06/deprecated-envio-aviso-de-evento-por.html

GoN Ene2015

Eventos Windows 2012

El PowerShell nos da muchas herramientas potentes con las que llegar a cierta información de una manera más rápida y acotada, aquí explicare como consultar los eventos acontecidos de una manera rápida.

Yo tengo la constumbre de poner el comando "eventvwr" para acceder al visor de eventos, se que hay muchas otras manera de llegar.

Si ejecutamos un PowerShell, con el comando "Get-Eventlog" nos preguntara que Log queremos consultar (Application, Security, System, etc ...).

Así nos saldrá todo lo que tenga almacenado, esto no es demasiado útil a no ser que lo queramos guardar para tratarlo.

Una manera sencilla de guardarlo sería:

Otra manera de hacerlo sería mediante el comando "Get-Eventlog security - newest 10" con lo que le decimos que no enseñe los 10 registros más recientes.

También podemos hacer que se ordene por la columna que nos interese:

GoN

¿Donde está bloqueado mi usuario?

Voy a comentar un programa que viene con la descarga del EventComMT de Microsoft.  No necesita instalación.

http://www.microsoft.com/en-us/download/details.aspx?id=18465

Ya expliqué algunas utilidades que se le puede dar a este software el en post:

http://gonsystem.blogspot.com.es/2011/05/visor-de-sucesos-eventos-eventcombmt.html

Aparece otro binario cuando descomprimimos este software de Microsoft que se llama LockoutStatus, este nos permite ver de todos nuestros DC en que situación está el estado de un usuario:

Ejecutamos el programa y vamos a la opción de "File" marcamos "Select Target..." y ponemos un nombre de usuario a buscar, en este caso "arodriguez"

El nombre de nuestro dominio debe estar como figura en la pantalla:

Yo tengo unos cuantos servidores repartidos por varias empresas con lo que sale un resultado como el siguiente:

Donde estas columnas nos pueden ser muy útiles:

Si lo hacemos con el usuario famoso "invitado" que viene con la instalación de Windows, en este caso nos comentaría lo siguiente:

GoN