Les tentatives d'intrusion pour corruption ou vol de données ne doivent pas être sous-estimées dans le cadre de votre supervision de vos postes et serveurs Linux. Ce check a donc été conçu pour vous permettre de garder le maximum de vigilance sur les échecs de connexion sur votre parc.

Le check Connection Failed by WinRM va vérifier vos logs dans un laps de temps donné ( 24h par défaut, modifiable dans les données ) et vous donner le nombre total de tentatives de connexions échouées, et un tableau comportant une ligne par trio IP-Host-Interface ( dans le cas d'une connexion réseau ) ou couple Host-Interface ( dans le cas d'une connexion locale sans adresse IP ).

  • Vous obtiendrez alors le nombre de tentatives au cas par cas, la date de la première et de la dernière tentative, et les informations précédemment énoncées.
    • Le tableau est classé par le nombre total de tentatives de connexion pour le trio IP-Host-Interface ou Host-Interface.
  • Deux seuils configurables permettent de déterminer quand le check passe en ATTENTION, puis en CRITIQUE.




Paramétrage

Le check utilise la ligne de commande suivante :

$WINDOWS-BY-WINRM__SHINKEN__PLUGINSDIR$/check_windows_health_by_winrm_rust --check check_connection_failed
    --hostname "$HOSTADDRESS$"
    --port "$_HOSTWINDOWS_BY_WINRM__PORT$"
    --username "$_HOSTWINDOWS_BY_WINRM__DOMAINUSER$" 
    --password "$_HOSTWINDOWS_BY_WINRM__DOMAINPASSWORD$"
    --auth_method "$_HOSTWINDOWS_BY_WINRM__AUTHMETHOD$"
	--timeout "$_HOSTWINDOWS_BY_WINRM__TIMEOUT$"
    -w "$_HOSTWINDOWS_BY_WINRM__CONNECTION-FAILED__WARN$"
    -c "$_HOSTWINDOWS_BY_WINRM__CONNECTION-FAILED__CRIT$"
    --time "$_HOSTWINDOWS_BY_WINRM__CONNECTION-FAILED__TIME-LIMIT$"
    --interfaces-allowed "$_HOSTWINDOWS_BY_WINRM__CONNECTION-FAILED__INTERFACES-ALLOWED$"

Données utilisées provenant du modèle

Données communes pour les checks des modèles

Données spécifiques pour ce check

DonnéeModifiable surUnitéValeur par défautDescription
WINDOWS_BY_WINRM__CONNECTION-FAILED__WARN

l'Hôte

( Onglet Données )

--

5

Définit le nombre de connexions échouées à partir duquel le check passe en ATTENTION.

WINDOWS_BY_WINRM__CONNECTION-FAILED__CRIT

l'Hôte

( Onglet Données )

--

10

Définit le nombre de connexions échouées à partir duquel le check passe en CRITIQUE.

WINDOWS_BY_WINRM__CONNECTION-FAILED__TIME-LIMIT

l'Hôte

( Onglet Données )

heures

24

Les X dernières heures de logs lus pour identifier les connexions échouées.

WINDOWS_BY_WINRM__CONNECTION-FAILED__LOGON-TYPES

l'Hôte

( Onglet Données )


ALL

Filtres des types de connexion (LogonType) à prendre en compte dans le check, séparés par des virgules.

Les types de connexion pris en compte doivent correspondre à au moins un des filtres fournis (basés sur le nom du LogonType).

  • Network prendra en compte les connexions de type Network
  • Interactive prendra en compte uniquement les connexions locales interactives
  • RemoteInteractive prendra en compte les connexions RDP / Terminal Services
  • Service,Batch prendra en compte les échecs liés aux services et tâches planifiées

La valeur ALL peut être utilisée afin de prendre en compte tous les types de connexion définis.


Voici la liste des types de connexion (LogonType) que le check peut superviser :


Données DFE ( Duplicate Foreach )

Pas de données DFE pour ce check

Données utilisées provenant du check

Pas de données provenant du check pour ce modèle

Résultat

Exemple


Interprétation des données

Statut

  • Le statut peut prendre 4 valeurs différentes : OK  /  ATTENTION CRITIQUE INCONNU.

    • Le statut va dépendre du retour de sonde et de la configuration spécifique du check pour les données suivantes :

      • WINDOWS_BY_WINRM__CONNECTION-FAILED__CRIT
      • WINDOWS_BY_WINRM__CONNECTION-FAILED__WARN

La colonne  "Affichage des seuils" montre les paramètres utilisés et leur valeur définie sur l'équipement supervisé.


Situation

Statut

Exemple

  • Les nombre de tentatives de connections échoués est supérieur ou égal à WINDOWS_BY_WINRM__CONNECTION-FAILED__CRIT.

CRITIQUE


  • Les nombre de tentatives de connections échoués est supérieur ou égal à WINDOWS_BY_WINRM__CONNECTION-FAILED__WARN.

ATTENTION


Résultat

Le résultat contient un message indiquant le statut ainsi que le nombre de connexions échouées dépassant le seuil CRITIQUE ou d'ATTENTION.

Résultat long

Le résultat long contient un tableau classé par le nombre total de tentatives de connexion pour le trio IP-Host-Interface ou Host-Interface.

Métriques

Définition

Nom de la métriqueUnitéDescriptionSeuil d'avertissementSeuil critique
total--Nombre de connexions échouées

WINDOWS_BY_WINRM__CONNECTION-FAILED__WARN

WINDOWS_BY_WINRM__CONNECTION-FAILED__CRIT

Erreurs et pré-requis

Erreurs de configuration de l'hôte à superviser ( spécifique à ce check )

Command execution Failed. Permission denied.


Le check n’a pas pu accéder au journal de sécurité Windows (Security Event Log) lors de l’exécution distante de la commande PowerShell.


L’accès au journal Security est restreint par Windows et nécessite des droits spécifiques.
Si l’utilisateur de supervision utilisé par le check ne dispose pas des permissions nécessaires, Windows retourne l’erreur suivante.

Résolution

Attribuer au compte de supervision les droits nécessaires pour la lecture du journal Security :

  • en l’ajoutant au groupe Lecteurs des journaux d’événements (ou Event Log Readers )

  • et en lui accordant explicitement l’accès en lecture au journal Security (méthode utilisée par le script de configuration d'un hôte fourni dans le pack)

Pour les environnements Active Directory, vérifier que le script Set-EventLogSecurity.ps1 est bien déployé via une GPO et correctement rattaché aux UO concernées.

Votre essai Premium est terminéVotre essai Premium est terminéVotre essai Premium est terminé