Contexte
Le check WEC Subscription by WinRM analyse un journal d'évènement afin de vérifier la présence de journaux de certaines machines sur l'hôte supervisé.
- Un tableau récapitulatif des machines demandées et affiché ainsi que le fait que les journaux soit bien présent sur l'hôte supervisé.
Paramétrage
Pour fonctionner, ce check a besoin que l'utilisateur utilisé pour la connexion WinRM vers le serveur Windows fasse partie du groupe d'utilisateurs "Lecteurs des journaux d'événement" ( "Event Log Readers" en version anglaise ) sur ce serveur.
Le check utilise la ligne de commande suivante :
$SHINKEN_WINDOWSBYWINRM_PLUGINSDIR$/check_windows_event.py -H $HOSTADDRESS$ -u $_HOSTWINDOWS_BY_WINRM__DOMAINUSER$ -p $_HOSTWINDOWS_BY_WINRM__DOMAINPASSWORD$ -M $_HOSTWINDOWS_BY_WINRM__AUTHMETHOD$ -m wec_subscription -N $_HOSTWINDOWS_BY_WINRM__WEC-SUBSCRIPTIONS__SUBSCRIPTIONS-NAMES$ -L $_HOSTWINDOWS_BY_WINRM__WEC-SUBSCRIPTIONS__TARGET-JOURNAL$ -t $_HOSTWINDOWS_BY_WINRM__WEC-SUBSCRIPTIONS__TIME$ -w $_HOSTWINDOWS_BY_WINRM__WEC-SUBSCRIPTIONS__MISSING-SUBSCRIBERS-WARNING$ -c $_HOSTWINDOWS_BY_WINRM__WEC-SUBSCRIPTIONS__MISSING-SUBSCRIBERS-CRITICAL$
Données utilisées provenant des modèles
Données communes pour les checks des modèles
| Nom | Modifiable sur | Valeur par défaut | Description |
|---|---|---|---|
WINDOWS_BY_WINRM__AUTHMETHOD | l'Hôte ( Onglet Données ) | ntlm | Méthode d'authentification utilisé. Valeurs possibles : basic, ntlm |
WINDOWS_BY_WINRM__DOMAINPASSWORD | l'Hôte ( Onglet Données ) | Ch4nge_Th1s_P4ssw0rd | Mot de passe de l'utilisateur de supervision |
WINDOWS_BY_WINRM__DOMAINUSER | l'Hôte ( Onglet Données ) | shinken_user | Nom complet de l'utilisateur de supervision utilisé pour exécuter des commandes à distance.
|
WINDOWS_BY_WINRM__PORT | l'Hôte ( Onglet Données ) | 5985 | Port de connexion au serveur WinRM de l'hôte à superviser. |
WINDOWS_BY_WINRM__TIMEOUT | l'Hôte ( Onglet Données ) | 20 | Temps maximum sans réponse d'une requête WinRM pour que la sonde renvoi un statut INCONNU. |
Données spécifiques pour ce check
| Nom | Modifiable sur | Unité | Défaut | Valeur par défaut à l'installation de Shinken | Description |
|---|---|---|---|---|---|
WINDOWS_BY_WINRM__WEC-SUBSCRIPTIONS__SUBSCRIPTIONS-NAMES | l'Hôte ( Onglet Données ) | --- | -- | -- | Liste des machines pour lesquelles la présence de journaux est vérifiée sur l’hôte supervisé. |
WINDOWS_BY_WINRM__WEC-SUBSCRIPTIONS__TARGET-JOURNAL | l'Hôte ( Onglet Données ) | --- | ForwardedEvents | ForwardedEvents | Nom du journal d'évènement à vérifier sur l'hôte supervisé. |
WINDOWS_BY_WINRM__WEC-SUBSCRIPTIONS__TIME | l'Hôte ( Onglet Données ) | Heures | 24 | 24 | Période de temps sur laquelle des journaux doivent être présent. |
WINDOWS_BY_WINRM__WEC-SUBSCRIPTIONS__MISSING-SUBSCRIBERS-WARNING | l'Hôte ( Onglet Données ) | --- | 1 | 1 | Définit la quantité de journaux manquant à partir duquel le check passe en ATTENTION . |
WINDOWS_BY_WINRM__WEC-SUBSCRIPTIONS__MISSING-SUBSCRIBERS-CRITICAL | l'Hôte ( Onglet Données ) | --- | 3 | 3 | Définit la quantité de journaux manquant à partir duquel le check passe en CRITIQUE . |
Données DFE ( Duplicate Foreach )
Pas de données DFE pour ce check
Données utilisées provenant du check
Pas de données provenant du check pour ce modèle
Non modifiable ( Sauf Admin Shinken ) Chemin absolu contenant les sondes installés par Shinken Non modifiable ( Sauf Admin Shinken ) Dossier fournit par shinken Non modifiable ( Sauf Admin Shinken ) Dossier contenant les sondes Non modifiable ( Sauf Admin Shinken ) Chemin absolu du dossier contenant les sondes du pack windows-by-WinRM__shinken ( non modifiable ) l'Hôte ( Onglet Général ) -- Adresse de l'hôteDonnées globales
Nom Modifiable sur Unité Défaut Valeur par défaut à l'installation Description USERPLUGINSDIR
-- /var/lib/shinken/libexec /var/lib/shinken/libexec WINDOWS-BY-WINRM__SHINKEN__VENDOR
-- shinken-additional-packs shinken-additional-packs WINDOWS-BY-WINRM__SHINKEN__PACKNAME
-- windows-by-WinRM__shinken windows-by-WinRM__shinken WINDOWS-BY-WINRM__SHINKEN__PLUGINSDIR
-- USERPLUGINSDIR/WINDOWS-BY-WINRM__SHINKEN__VENDOR/WINDOWS-BY-WINRM__SHINKEN__PACKNAME
/var/lib/shinken-user/libexec/shinken-additional-packs/windows-by-WinRM__shinken Propriétés de l'hôte
Nom Modifiable sur Unité Défaut Valeur par défaut Description HOSTADDRESS
Nom de l'hôte Nom de l'hôte
Résultat
Exemple
Interprétation
Statut
Il peut prendre 4 valeurs OK / CRITIQUE / ATTENTION / INCONNU .
Le statut va dépendre du retour de sonde et de la configuration spécifique du check pour les données suivantes :
- WINDOWS_BY_WINRM__WEC-SUBSCRIPTIONS__MISSING-SUBSCRIBERS-CRITICAL
- WINDOWS_BY_WINRM__WEC-SUBSCRIPTIONS__MISSING-SUBSCRIBERS-WARNING
Voici un tableau récapitulatif du statut attendu suivant le retour de sonde :
Le texte de la colonne "Affichage des seuils" montre les paramètres utilisés et leur valeur définie sur l'équipement supervisé.
| Situation | Statut | Exemple |
|---|---|---|
| ATTENTION |
|
| CRITIQUE |
|
Résultat
Le résultat contient le statut du check, ainsi que la liste des machines et si leurs journaux ont été trouvé ou non.
Résultat Long
Pas de résultat long pour ce check
Métriques
Pas de métrique pour ce check
Erreurs et pré-requis
L'utilisateur utilisé pour la connexion WinRM vers le serveur Windows ne fait pas partie du groupe d'utilisateurs "Lecteurs des journaux d'événement" ( "Event Log Readers" en version anglaise ) sur ce serveur.
Il faut ajouter l'utilisateur utilisé pour la connexion WinRM vers le serveur Windows dans le groupe d'utilisateur "Lecteurs des journaux d'événement" sur le serveur local. La méthode est expliquée en détail dans la documentation de configuration de WinRM ( Voir la page Configuration du Windows supervisé pour le pack windows-by-WinRM__shinken#Configurationdesgroupes )WEC Subscription by WinRM
Exception lors de l'appel de « .ctor » avec « 1 » argument(s) : « Tentative d'exécution d'une opération non autorisée. »
Résolution 1 :
L’hôte supervisé a mis trop de temps à répondre à la requête. Note : ce problème peut également provenir d’un mauvais port configuré, d’un port fermé sur l’hôte supervisé, ou si le service WinRM est stoppé sur l'hôte supervisé.
Résolution : La commande ci dessous permet de voir l'état du service WinRM : Il est possible de le démarrer ou de le configurer pour se lancer automatiquement avec les commandes suivantes : L'hôte à refusé la connection ; ou bien son pare-feu.
L'hôte n'a pas pu recevoir la requête. Vérifiez votre réseau, routeur, pare-feu et nom d'hôte.
Le nom de l’hôte n’a pas pu être résolu. Vérifiez que l’adresse renseignée est correcte et que le serveur DNS est accessible.
Le nom de l’hôte n'est pas une URI valide. Vérifiez que l’adresse renseignée est correcte.
NTLM n'est pas activé sur l'hôte à superviser.
Résolution : Vous pouvez : Activer NTLM sur l'hôte supervisé avec la commande suivante : La connexion NTLM n'a pas été autorisé. Les raisons possibles sont : Winrm n'a pas été configuré avec la commande :
Résolution : Il faut s'assurer d'avoir correctement appliqué les configurations décrites dans les sections "Configuration de WinRM" et "Configuration de l'utilisateur" ( Voir la page Configuration du Windows supervisé pour le pack windows-by-WinRM__shinken ). L'authentification basic n'est pas activé sur l'hôte à superviser.
Résolution : Vous pouvez : Activer Basic sur l'hôte supervisé avec la commande suivante, et autoriser les communications non chiffrées : La connexion basic n'a pas été autorisé. Les raisons possibles sont : Winrm n'a pas été configuré avec la commande :
Résolution : Il faut s'assurer d'avoir correctement appliqué les configurations décrites dans les sections "Configuration de WinRM" et "Configuration de l'utilisateur" ( Voir la page Configuration du Windows supervisé pour le pack windows-by-WinRM__shinken ). L'utilisateur utilisé n'a pas accès à l'éxécution de commandes à distances.
Résolution : Il est important de donner les accès "Read" et "Invoke" à l'utilisateur de supervision afin qu'il puisse lire des ressources et éxécuter des commandes sur l'hôte supervisé. Il faut s'assurer d'avoir correctement appliqué la configuration décrite dans la section "Permissions WinRM pour l'utilisateur" ( Voir la page Configuration du Windows supervisé pour le pack windows-by-WinRM__shinken ). L'utilisateur utilisé n'a pas accès aux objets CIM, necessaire à la supervision de la machine.
Résolution : Il est necessaire de donner les accès à distance aux objets CIMv2 et StandardCimv2. Il faut s'assurer d'avoir correctement appliqué la configuration décrite dans la section "Autorisation aux objets CIM" ( Voir la page Configuration du Windows supervisé pour le pack windows-by-WinRM__shinken ). L'utilisateur utilisé n'a pas accès aux objets CIM. Les permissions sont en cours d'application.
Résolution : L'erreur survient après la modification des droits aux objets CIM de l'utilisateur. Il suffit d'attendre ou de redémarrer la machine afin que les permissions s'actualisent.Erreurs de connexion ( communes à tous les checks )
UNKNOWN – Transport error : failed to send request: request timed out
Get-Service WinRM
# Redémarrer le service WinRM :
Restart-Service WinRM
# Configurer le démarrage automatique
Set-Service -Name WinRM -StartupType Automatic
UNKNOWN – Transport error : sent request failed: connection refused
UNKNOWN – Transport error : sent request failed: host is not reachable
UNKNOWN – Transport error : sent request failed: DNS resolution failed
UNKNOWN – Transport error : failed to build request: given uri is invalid
UNKNOWN – Authentication NTLM failed : NTLM is not supported by the server
winrm set winrm/config/service/auth '@{Negotiate="true"}'
UNKNOWN – Authentication NTLM failed : Unauthorized
winrm quickconfig
UNKNOWN – Authentication Basic failed : Basic is not supported by the server
winrm set winrm/config/service/auth '@{Basic="true"}'
winrm set winrm/config/service '@{AllowUnencrypted="true"}'
UNKNOWN – Authentication Basic failed : Unauthorized
winrm quickconfig
Erreurs de configuration de l'hôte à superviser ( communes à tous les checks )
UNKNOWN – Response fault error: Code: s:Sender, Subcode: w:AccessDenied, Reason: Access is denied.
MONITORED HOST - BAD STATE – Command execution Failed. Permission denied.
UNKNOWN – Command execution Failed. [...] Provider failure
















