Créer une alerte scom généré par un événement Windows

Posted on by Mehdi Jerbi

OBJECTIF :

Créer une alerte SCOM suite à un événement dans les journaux avec des critères bien définis au préalable (event ID , mot dans le message ,type particulier……).

 

PRÉREQUIS :

Avoir une console SCOM

 

MÉTHODE:

Aller dans la rubrique Authoring / Management Pack Object/Rules

image1

 

1 . Cliquer sur “Create a Rule” en haut à droite dans la barre des tâches.

2 . Sélectionner la rubrique “Alerte Generating Rules / Event Based / NT Event Log (Alert).

image2

 

3. Choisir un Management pack si il est déjà existant ou créé le.

Il est important de regrouper les règles d’un même produit dans un management pack différent de celui par défaut. Cela sera appréciable lors de migration de plateforme ou si vous avez à les exporter vers une autre plateforme .

4. Renseigner les champs suivant :

  • Rule name : indiquer le nom de votre règle
  • Desciption : entrer une description résumée de votre règle (facultatif)
  • Rule category : laissez “event Collection” par défaut
  • Rule target : rubrique très importante car ça sera la cible possible de cette règle. Je préfère choisir Windows computer afin de cibler toutes les machines Microsoft et filtrer ma règle par la suite avec des groupes.
  • Et surtout ne pas activer la règle par défaut, décocher la case “rule is enabled”. On activera la règle à un groupe défini avec un override avant d’éviter les scénarios catastrophes ou une règle un peu intrusive se déploie sur tous les serveurs inclus dans SCOM.

 

image3

 

4. La partie la plus importante est le filtre,

J’ai pris comme exemple les critères ci-dessous

“event ID” et la valeur 4740

Le mot service dans le champs message

 

Cela aura comme effet de  créer une alerte SCOM des qu’un événement 4740 sera généré dans les journaux avec le mot “service” dans le champ “Description”  des machines cibles.

Le but de mon exemple est d’auditer les verrouillages des comptes Active directory contenant le mot service.

 

 

image8

 

5. Ensuite nous devons indiquer dans quel journal devra être appliqué ce filtre, pour mon cas cela sera le journal “Security.”

Vous pouvez, en cas de doute sur le nom du journal, aller consulter les journaux d’un serveur particulier en indiquant son nom dans la case computer. (Ce serveur servira juste de modèle mais ne sera pas forcément utilisé par cette règle).

 

image6

 

 

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.