Collecting Windows Events with Kiwi Syslog
Daca tot am pomenit de Snare mi s-a parut normal sa zic cate ceva si de Kiwi. Kiwi este cel mai popular server de syslog pe Windows si nici nu este scump. Exista si versiunea free ce are anumite limitari. O comparatie gasiti aici:
http://www.kiwisyslog.com/free-edition.aspx
Noua versiune de Kiwi are nevoie de .Net. Iar daca folositi Windows 2012 e nevoie sa instalati din Add features .Net 3.5 (contine 2.0 si 3.0).
Instalarea este floare la ureche, in afara de .Net setup-ul instaleaza toate celelalte componente necesare.
Iar o componenta noua binevenita este portalul Web Access ce permite vizualizarea si filtrarea datelor.
Odata serverul instalat este nevoie sa puneti un client/agent de syslog pe serverele Windows. Mai nou pachetul Kiwi vine si cu SolarWinds Log Forwarder ce mi se pare foarte ok (atentie ca are aceleasi cerinte de .Net ca si serverul). Alti clienti ok pentru Windows sunt Snare si Correlog.
Setup-ul de la Log Forwarder iti permite sa selectezi exact ce sa trimiti catre server.
Si imediat ce clientul incepe sa comunice cu serverul evenimentele pot fi vizualizate in consola Kiwi Web Access:
Sau in consola GUI:
Sau direct in fisierele text in care Kiwi stocheaza informatia:
Iar la nevoie datele pot fi stocate si intr-o baza de date SQL.
Sper ca v-am trezit interesul si veti implementa astfel de solutii pentru ca ce exista builtin in Windows in momentul acesta nu cred ca incanta pe nimeni.
Splunk–Event log consolidation and search made easy
Exista mai multe solutii de a consolida evenimentele din event viewer iar una dintre ele este Splunk si astazi m-am gandit ca merita cateva cuvinte.
De Splunk am auzit acum multi ani de la un prieten dar nu am avut ocazia sa-l folosesc intr-un mediu productiv. Pe vremuri parea destul de simplu dar in momentul acesta Splunk a devenit un produs destul de complex/complicat care poate face extraordinar de multe.
Totusi, daca nu ceri prea multe, e posibil sa reusesti sa te intelegi usor cu el. Iar la asta o sa ma rezum si eu astazi. Colectarea evenimentelor din event viewer si vizualizarea acestora. Iar cand vorbim de vizualizarea datelor aici Splunk chiar straluceste.
Pentru a colecta datele aveti nevoie de o instalare de Splunk server si una sau mai multe masini care sa trimita date catre server. Datele pot fi trimise prin protocolul syslog (Snare, Correlog, etc.) sau folosind Splunk Universal Forwarder.
Administrarea se face web iar interfata arata cam asa.
Nota: va recomand sa folositi Chrome si nu IE.
Daca tot ce urmariti este sa colectati evenimentele si sa le vizualizati atunci nu este nimic mai simplu. Search-ul este foarte rapid si simplu de folosit.
In exemplul meu o sa incerc sa gasesc evenimente legate de grupul Domain Admins banuind ca cineva l-a modificat.
Iar acum intervine partea interesanta, cat de simplu putem sa filtram informatia. De exemplu intervalul:
Sau sursa, in cazul meu pot selecta un anume server sau sursa informatiilor care poate fi Event Viewer sau modulul de monitorizare Active Directory ce vine cu Splunk Universal Forwarder.
Cum sunt mai familiarizat cu Event Viewer o sa aleg WinEventLog.
In lista afisata mai sus putem vedea doar o parte din informatii dar putem face click pe Show all X lines ca sa vedem toate informatiile.
Iar filtrarea poate avansa cu un simplu click pe unul din elementele text din event-ul de mai sus. Un simplu click va adauga in cautare si elementul selectat.
Dar daca vrem sa efectuam o cautare de genul grupul Domain Admins SAU Enterprise Admins? Atunci vom folosi OR intre elementele introduse in campul de search:
Atentie, OR trebuie introdus cu litere mari. By default daca nu specificati OR, este folosit AND.
Si as putea sa continui la nesfarsit cu modul in care puteti cauta informatia in Splunk dar cel mai bine este sa il folositi singuri pentru a vedea cat de cool este. Insa lucrurile nu se opresc aici, exista module powershell, addon-uri pentru monitorizarea Active Directory, Exchange, etc si multe altele. Doar ca pretul acestora este complexitatea. Sincer imi place in formatul de mai sus in care imi indexeaza si imi permite sa vizualizez rapid si simplu informatia trimisa de serverele mele.
Pentru versiunea free limita este de 500Mb de date indexate pe zi iar aici gasiti o comparatie intre versiunea free si cea enterprise: http://www.splunk.com/view/free-vs-enterprise/SP-CAAAE8W
Vsphere Client – VMRC Console Has Disconnected – Windows 8
Mesajul din titlu l-am intalnit cand am instalat clientul de Vsphere 5.0 pe Windows 8 si am incercat sa ma conectez la consola unei masini virtuale.
Am incercat sa pun clientul de 5.5 insa acesta si nici cel de 5.1 nu pot fi folosite pentru a administra 5.0.
Problema se rezolva instalant clientul ce vine cu Vsphere 5.0 Update 2. Iar daca nu aveti instalat update-ul pe server gasiti mai jos o lista cu link-uri directe de download pentru toate versiunile de client de 4.1, 5.0 si 5.1:
vSphere v4.1
– VMware vSphere Client v4.1 : VMware-viclient-all-4.1.0-258902.exe
– VMware vSphere Client v4.1 Update 1 : VMware-viclient-all-4.1.0-345043.exe
– VMware vSphere Client v4.1 Update 2 : VMware-viclient-all-4.1.0-491557.exe
– VMware vSphere Client v4.1 Update 3 : VMware-viclient-all-4.1.0-799345.exe
– VMware vSphere Client v4.1 Update 3a : VMware-viclient-all-4.1.0-925676.exe
vSphere v5.0
– VMware vSphere Client v5.0 : VMware-viclient-all-5.0.0-455964.exe
– VMware vSphere Client v5.0 Update 1 : VMware-viclient-all-5.0.0-623373.exe
– VMware vSphere Client v5.0 Update 1b : VMware-viclient-all-5.0.0-804277.exe
– VMware vSphere Client v5.0 Update 2 : VMware-viclient-all-5.0.0-913577.exe
vSphere v5.1
– VMware vSphere Client v5.1 : VMware-viclient-all-5.1.0-786111.exe
– VMware vSphere Client 5.1.0a : VMware-viclient-all-5.1.0-860230.exe
– VMware vSphere Client 5.1.0b : VMware-viclient-all-5.1.0-941893.exe
– VMware vSphere Client 5.1 Update 1 : VMware-viclient-all-5.1.0-1064113.exe
– VMware vSphere Client 5.1 Update 1b: VMware-viclient-all-5.1.0-1235233.exe
Pentru update-uri urmariti sursa originala: http://chall32.blogspot.co.uk/2011/10/vmware-vsphere-client-download-url.html
Inter-VLAN Routing Architectures
Nu-i Windows dar e bine de stiut. Periodic mi se intampla sa ajung in discutii despre cum ar trebui sa se ruteze traficul intre subneturile din acelasi LAN.
Raspunsul este simplu: switch Layer 3, nu router separat.
Iar mai detaliat gasiti in CCNP Practical Studies: Switching.
Exchange 2010 Automatic Mailbox Distribution
Cum cu Exchange-ul am ramas in urma si aveam nevoie sa reproduc si un scenariu zilele astea, m-am apucat sa butonez un laborator de Exchange de pe Technet. Iar in manualul de laborator era un pas ce mi-a starnit curiozitatea. Si zicea asa:
Get-Mailbox | New-MoveRequest
The cmdlet will retrieve the list of mailboxes in the organization and create a new move request for each. The mailboxes will be evenly distributed based on mailbox size to MDB01 and MDB02.
Si cum eu nu cred tot ce se scrie prin manuale m-am apucat de investigatii. Iar investigatiile mele mi-au spus ca NU se face nici o distribuire a mailboxurilor in functie de dimensiune.
Dar sa incerc sa explic putin procesul in cuvintele mele (asa cum l-am inteles eu).
Exista o componenta numita “cmdlet agent” numita Mailbox Resources Management Agent ce este atasata comenzilor New-Mailbox, Enable-Mailbox, New-MoveRequest si care intra in actiune atunci cand nu este specificat un mailbox database in comenzile de mai sus. Acesta va alege random un mailbox database din cele disponibile si il va folosi pentru plasarea mailboxului.
Sa luam exemplul de mai jos in care listez mailbox-urile disponibile cu Get-Mailbox, dupa care le trimit catre comanda New-MoveRequest.
New-MoveRequest va incerca sa mute mailbox-urile intr-un alt mailbox database ales random pentru fiecare mailbox in parte. Si cu toate ca in exemplul meu de mai sus am avut doua database-uri disponibile pentru plasarea mailbox-urilor, fiecare pe servere diferite, acestea nu au fost distribuite uniform (nici ca numar, nici ca dimensiune).
Pentru a limita database-urile ce sunt alese pentru distributie se poate folosi comanda Set-MailboxDatabase -IsSuspendedFromProvisioning:$true pentru fiecare database ce se vrea exclus din acest proces. Iar pentru a vedea statusul mutarilor se poate folosi Get-MoveRequest.
Si daca doriti sa aflati mai multe de spre Automatic Mailbox Distribution va recomand urmatoarele doua articole:
http://technet.microsoft.com/en-us/library/ff477621(v=exchg.150).aspx
http://technet.microsoft.com/en-us/library/ff872148(v=exchg.141).aspx
Code Snippets in Powershell ISE
In noul Powershell IDE din versiunile 3 si 4 si-a facut aparitia un mic feature ce mi se pare foarte util. Si anume Code Snippets, foarte util pentru incepatori ce nu sunt foarte familiarizati cu sintaxa sau si pentru avansati ce scriu destul de mult cod in ISE.
Lista de “cod snippets” se activeaza folosind CTRL+J sau din meniul Edit:
Si in vechile versiuni se putea implementa ceva de genul acesta insa functionalitatea builtin este bine venita. Iar daca vreti sa extindeti lista de exemple de cod o puteti face folosind comanda New-IseSnippet (vor fi generate fisiere locale deci informatia nu se va pierde daca reporniti mediul powershell).
Windows 8 Apps–Execution Environment
Rasfoind prin tutorialul de aici am descoperit un episod ce mi se pare interesant si pentru IT Pro.
Va sfatuiesc sa il vizionati pentru a intelege mai bine despre cum ruleaza aplicatiile Metro in Windows 8:
Windows 8.1 upgrade
Azi din prea mult exces de zel m-am decis sa imi fac upgrade la sistemul de acasa de la Windows 8 la 8.1. Iar varianta a fost inplace upgrade.
Sincer imi era cam teama ca nu o sa mearga si nu prea aveam chef sa fac usb-uri bootabile si sa-mi fac backup. Dar surpriza. A mers.
Am downloadat ISO-ul de pe Technet, l-am desfacut cu winrar si am rulat setup.exe. Pana la primul reboot am reusit sa capturez imaginile urmatoare:
Atentie ca veti fi intrebati si de product key. Chiar daca aveti Windows 8 licentiat va trebuie o cheie noua pentru 8.1.
Au urmat inca vreo 3 reboot-uri si aproximativ 15 minute dupa care am ajuns un noul desktop si am putut admira noul buton de start.
Neimpresionant. Nu pot spune ca mi-am pierdut timpul ca trebuia oricum sa o fac. Shut down.
PS:Gmail-ul nu prea merge in noul IE 11 
.
Windows Server 2012 R2 & Windows 8.1 ready to download
In caz ca sunteti nerabdatori si aveti o subscriptie Technet sau MSDN, va anunt ca puteti deja descarca Windows Server 2012 R2 si Windows 8.1
Si daca nu aveti sunt sigur ca le gasiti si prin alte locuri 
.
Microsoft vrea sa-ti cumpere IPAD-ul
Intr-o incercare disperata sa a propulsa vanzarile de Surface, Microsoft ofera un gift card de minim 200$ pentru cei ce vor sa schimbe IPAD-ul cu un Surface. Suna a gluma, nu?
Ei bine, nu este: http://content.microsoftstore.com/en-us/offers?WT.mc_id=PromoEmail_iPadTradein_9-5-13_GetDetails#offer-tablet-trade