Salut,

J'amerai savoir checkeventlog il fait quoi exactement ? car si il fait ce que je pense ça pourrait m'interesser de savoir comment il fonctionne.

Merci

Le checkeventlog permet de checker à intervalles réguliers le contenu des différents journaux d'événements.
La combinaison de plusieurs filtres permet de fixer une fenêtre temporelle (generated), la source générant l'événement (eventSource), le niveau de criticité du message (error, warning, info, etc.) et l'ID Windows de l'événeent eventID.

Si cela vous intéresse j'ai fait un manuel français à destination d'un usage interne sur NSClient soit par l'utilisation du check_nt ou par l'utilisation du check_nrpe que personnellement je privilégie. Je pourrais le diffuser ici éventuellement.

Les exemples cidessous :
Ce check va scruter le journal d'événements application pour voir si la source EvntAgnt a généré des entrées depuis les 10 dernières minutes avec un niveau de criticité warning. Si plus d'une entrée est trouvée=>retour warning à nagios, si plus de 3=>critical
/check_nrpe -H 192.168.0.80 -p 5666 -c CheckEventLog -a file=application MaxWarn=1 MaxCrit=3 filter=new filter+eventSource=substr:EvntAgnt filter+generated=\<10m filter+eventType==warning
Réponse :
EvntAgnt, EvntAgnt, : 2 > warning|''=2;1;3;

Si on élève le niveau de criticité à error :
./check_nrpe -H 192.168.0.80 -p 5666 -c CheckEventLog -a file=application MaxWarn=1 MaxCrit=3 filter=new filter+eventSource=substr:EvntAgnt filter+generated=\<10m filter+eventType==error
Réponse :
Eventlog check ok|''=0;1;3;

Attention à penser (ce qui n'est pas ait sur ces exemples) à utiliser truncate=x (x<1024, taille maxi du buffer nrpe) si la liste retournée risque d'être longue.

Ce moyen est assez pratique pour checker les antivirus (mise à jour effectuées), les backup, etc. mais aussi pour identifier les problèmes avant l'incident car par expérience, la remontée et la centralisation des logs est une chose (on ne passe pas son temps à les regarder...), mais des check pro actifs sont beaucoup plus efficaces dans une démarche d'anticipation. On peut penser qu'avant de cracher complètement, un service peut commencer par être bavard...

Merci pour tout ces details.

J'aimerai bien disposer de ton manuel pour pouvoir plus étudier la chose, et je confirme que c'est ce que je cherche à faire depuis un certain temps.

Quels sont les choses a installer sur les serveurs/postes (windows) et sur le serveur (linux) ?

Merci beaucoup (je vous contact par mp pour vous passez mon adresse email).

Ici...

Bon, je vois que cela peut t'intéresser, et pourquoi pas d'autres ici.

Après tout, ne sommes nous pas dans un projet collaboratif ?

Voici en extrait de ma doc, concernant NSCLient++.
C'est une première version destinée à des admin windows qui ne sont pas familiers avec le monitoring et encore moins Linux...:confused:


Ce n'est pas complètement finalisé, mais c'est à mon avis un bon début. :razz:

Bon, le fichier étant trop gros pour être téléchargé ici, je vous le met en lien http://proxyconcept.net/zone/NSCient-Howto.pdf

Tout retour et appréciation appréciés.

Je tiens a dire bravo pour ce HowTo qui est extremement génial.

Super bien expliqué par contre dans les premières lignes il y a une faute (chacks != checks )

"Les scripts check_nt_* dans /usr/lib/nagios/libxec/ sont les lugins utilisés par Nagios (ou Centreon)
pour lancer les chacks auprès de Nsclient++."

J'avais dit, première version...

Il y en surement d'autre dans le genre...

Merci du compliment.

Bravo pour ce tuto !!

J'ai vu aussi, que NSClient ++ n'est plus mis à jour depuis un bout de temps.
Il serait remplacer par le projet NS_NET sur SourceForge:
http://sourceforge.net/project/platf...roup_id=160140

Je cherchais jusqu'à maintenant un moyen de parser les fichiers log de Window$.
Suis en train de bosser dessus... Histoire de voir ce que ça donne... :wink:

Je supervise aussi des serveurs W2k3... Je verrai bien si je rencontre les mêmes problèmes...

Encore bravo pour le HowTo

Bon, j'ai testé le NS_NET.

C'est quasiment la même chose. Mais je n'arrive pas a faire fonctionner le Eventlog. :mad:

Je vais revenir et voir avec NSClient++...

Ça y est, j'ai testé NSClient++. Ça a l'air de fonctionner :cool:
Juste une remarque, quand je remonte plusieurs infos par requête, une seule est graphée dans Centreon.

Comme si la syntaxe des infos perfdata n'était pas bonne.
Une histoire de ";" à priori... mais je vois pas où corriger le problème. :roll:

[RESOLU] NsClient + CkeckEventLog

Bonjour à tous,
Je reviens sur mon problème de folie sur les événements du journal des applications.
J'ai trouvé [enfin +ou-] une solution.

En réalité, en remontant sur plus de 300 jours d'ancienneté, j'ai obtenu des réponses. En tatonnant (algorithme de la dichotomie, cela m'a rajeuni) j'ai localisé la date à laquelle il n'y avait plus de réponse. C'est quand les serveur PDC ont été promus PDC, et lors de l'application de certaines GPO (pas précisément défini, mes admin windows restent parfois très discrets sur certains points...). Bon là, je pensais tenir une piste, mais laquelle ???
En fait, nous avons viré les fichiers journaux. Un nouveau fichier journal a été créé...ET CA MARCHE !!!

Reste un point noir : POURQUOI ?
Sur toutes les machines (a priori car + de 50 en prod), cela semble maintenant OK.

Je peux donc faire des tests sur les journaux d'événements Application et chercher mes evts de mis à jour d'AV, de backup etc.

Aux petits oignons.

Pour le reste NSClient 0.2.7 fonctionne well for me !

Concernant la MàJ de NSClient, je pense qu'il vous faudrait consulter ce site :
http://trac.nakednuns.org/nscp/browser
Je suis surpris de votre analyse de la situation de NSClient++ (je ne suis pas actionnaire de NSClient, ni amoureux) mais il me semble qu'il est prdent de rétablir la situation.:confused:

Effectivement le site http://trac.nakednuns.org/nscp/ est beaucoup plus à jour. Mais je n'y avais pas accès du boulot... :mad:

J'y suis retourné depuis la maison et c'est tout bon. J'ai récupéré la toute dernière version.

Tout ce que j'ai testé fonctionne! :cool:

Bonjour, j'ai essayer le tuto et a priori ca marche.
Quand je tape:
./check_nrpe -H @IP -p 5666 -c CheckEventLog -a file=application MaxWarn=1 MaxCrit=3 filter=new filter+eventSource=substr:EvntAgnt filter+generated=\<10m filter+eventType==warning

il me retourne ca dans le log
NRPEException: Request command contained illegal metachars!
Je pense que ca vient du =\10m . Est tu sur de la syntaxe?

Oui, je pense que tu devrais regarder ton fichier de conf NSC.ini et autoriser les métachars.
allow_nasty_meta_chars=1