En esta entrada veremos como generar alertas en el EventLog Analyzer versión 12..0.4 cuando un usuario intenta iniciar sesión en nuestro servidor.
Existen varias formas de llegar al apartado de generar alertas, la forma mas rápida es presionando sobre el botón +Add que se encuentra en la esquina superior derecha y seleccionamos Alerts.
Nos aparecerá el formulario para la creación de un nuevo perfil de alertas.
- Elegimos un nombre descriptivo para nuestra Alerta.
- Seleccionamos la gravedad que se le asignará, en nuestro caso High.
Seleccionamos el o los servidores que queremos monitorear, en mi caso seleccionaré mi servidor de Active Directory. Para seleccionar el dispositivo/servidor, presionamos sobre el signo + en Select Device, marcamos el servidor y presionamos Add
Presionamos sobre el simbolo + del apartado Select Alert.
Nos dirigimos hasta la pestaña de Custom Alert. Elegimos el campo EventId, el operador será Equals y el número del evento es 4625.
En este enlace pueden ver mas información sobre el evento 4625. https://www.manageengine.com/products/active-directory-audit/kb/windows-security-log-event-id-4625.html. Básicamente registra cualquier intento fallido de inicio de sesión, ya sea por no contar con los permisos o por ingreso erróneo de la contraseña.
Guardamos los cambios en la sección en la ventana de Select an alert Profile.
Por último configuramos la alerta por correo electrónico. Para ello marcamos la opción de Email Notification.
- Escribimos la dirección de correo electrónico a quien enviaremos las alertas.
- Escribimos un asunto.
- Escribimos el cuerpo del mail de la alerta. Tanto para el asunto como para el cuerpo del mensaje tendremos la posibilidad de utilizar los Macros, que son como "variables" que se agregan y que luego son reemplazados por el valor real de la alerta. En nuestro ejemplo, en el cuerpo del mensaje podemos ver que se utiliza el macro &ALERTNAME& que es el nombre de la alerta que colocamos en el primer campo.
Guardamos los cambios. Tener en cuenta que para que funcione el envío de alertas mediante correo electrónico, previamente tendrán que configurar las opciones de servidor de correo en el ELA.
En resumen, la configuración de la alerta se debería ver de la siguiente manera:
La alerta enviada por correo se verá de la siguiente manera:
Y la alerta en la consola del ELA se verá de la siguiente manera: