Blog de Florent Appointaire

Blog sur les technologies Microsoft (Windows Server, System Center, Azure, Windows Azure Pack/Azure Stack, etc;)

Pour le cadre d’une démonstration de OMS, j’ai eu comme idée, pour montrer la partie Alerte de OMS, d’envoyer un email lorsqu’un compte essaye de se connecter à un serveur alors qu’il n’a pas les authorisations ou que le compte n’existe pas.

Ceci peut être fait en supervisant un évenement bien spécifique sur un serveur. Je vais donc activer cette fonctionnalité.

Pour commencer, créez une nouvelle GPO:

image

Allez ensuite dans Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policies. Ici, sélectionnez Audit account logon events:

image

Activez cette fonctionnalité, suivant si vous souhaitez audité les connexions qui ont fonctionné, échoué ou les 2:

image

Appliquez maintenant cette GPO sur le/les serveur(s) en question ou attendez que ce soit fait automatiquement (90 minutes par défaut):

image

Essayez ensuite de vous connecter sur un serveur avec un faux compte ou un compte qui n’a pas les droits. Vous devriez avoir un évenement de type Security en mode Audit Failure et avec l’ID 4625:

image

Allez maintenant sur OMS et faites une recherche dans les logs pour récupérer l’évenement 4625:

Type=SecurityEvent EventID=4625

Vous devriez avoir des résultats. Sinon attendez l’upload des logs qui se font rapidements. Cliquez en haut sur la cloche pour créer une alerte et remplissez comme ceci. Bien sur, adaptez avec vos valeurs Smile

image

Vous devriez recevoir un mail car 1 > 0.

Facebook Like
Anonymous