Finally the help of IT is here

Blog de soluciones informaticas.

Detectar errores visor de sucesos desde Powershell

Posteado por Xavier Xaus Nadal on 13th mayo 2012

Buenas.

Hoy vamos poner algo de powershell.

Este artículo explica como recoger remotamente un evento del visor de sucesos de windows de un equipo o grupo de equipos desde una línea de comandos Powershell y además en Onliner, jeje como me gusta a mí..

Recordáis el artículo http://www.megacrack.es/2008/11/16/como-resolver-problema-con-jrnl_wrap_error-frs-event-id-13568-o-13561/ donde demostrábamos como solventar un error con la replicación de Active Directory del sysvol?, pues con este script podremos detectar remotamente este tipo de errores sin tener que esperar a que un usuario nos diga que su script no funciona por que no lo detecta, o que una política de dominio no se está aplicando por que no existe en algún site, etc..

Lo que vamos a hacer con este script es comprobar los últimos 2 días de logs del visor de eventos del “File Replication Service” como source “NtFrs” y como tipo de error “Error” y también forzaremos a que únicamente nos muestre los errores de tipo “13568” y que únicamente nos muestre el más nuevo para ajustarnos a las preferencias de detectar el error de replicación de active directory (Vosotros podréis poner lo que queráis como por ejemplo detectar si las bases de datos de Exchange se han apagado por culpa de que el log de transacciones se haya llenado) con los siguientes valores:

Type: Error

Event ID: 9518

Source: MSExchangeIS

Pero de momento lo que vamos a buscar nosotros son los problemas con el FRS y lo que buscamos es lo siguiente:

Type: Error

Event ID: 13568

Source: NtFrs

Lo haremos de esta forma:

get-eventlog -newest 1 -after (get-date).AddDays(-2) –computername <NombreEquipo> -logname "File Replication Service" -source "NtFrs" -entrytype "Error" | where{$_.EventId -eq ‘13568’} | select machinename,source | ftautosize

El resultado si detectara que ha habido un error en los últimos 2 días en el apartado File Replication Service con source NtFrs, de tipo Error y con el código de evento 13568 sería el siguiente:

MachineName Source

———–         ——

MegaDC1        NtFrs

A partir de ahí ya podremos solventar el problema  con el siguiente artículo por ejemplo: http://www.megacrack.es/2008/11/16/como-resolver-problema-con-jrnl_wrap_error-frs-event-id-13568-o-13561/

Pero si lo que queréis es detectar esto mismo en todos los domain controllers del dominio deberéis modificar –computername <NombreEquipo> por:

-computername (get-qadcomputer -searchroot "<dominio>Domain Controllers" –dudip | Select-Object -ExpandProperty Name)

Cuidado que esta última modificación que lo hará sobre todos los domain controllers que tengáis y tardará muchísimo, (Deberéis tener instaladas las herramientas de Quest Active Roles Management) pensad que lo hacemos remotamente y que no usamos hebras de procesos (Esto ya os lo mostrará otro de los miembros del blog que es más que experto en Powershell) A ver si se anima.. Albert!!!!!, te queremos leer en MegaCracks…

También podéis ejecutar el comando en cada servidor diariamente y que envíe un email con los resultados a una dirección de correo o lo envíe hacia un fichero que será recogido por un IIS y mostrado en una web como si de un monitor de eventos centralizado se tratara, o lo que vuestra imaginación os ofrezca… El mundo del powershell es impresionante, pero más lo es cuando lo unes con automatizaciones, monitores, webs, etc..

Si tenéis cualquier pregunta al respecto estaremos encantados de daros soporte desde los comentarios del bog.

Hasta la próxima.

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,
Posteado por Error, Exchange, PowerShell, powershell | No Comments »

Conceder permisos a root para acceder por SSH en VMware ESX.

Posteado por Xavier Xaus Nadal on 14th agosto 2009

Buenas,

Hay veces que surge la necesidad de disponer de más permisos de los normales para realizar ciertas acciones en nuestros sistemas.

En este artículo os voy a mostrar como configurar el ESX para que se pueda acceder a él mediante una conexión telnet segura (SSH) con el usuario con los máximos permisos en nuestro sistema VMWARE ESX que es el usuario root.

Por defecto en todas las instalaciones del ESX esta opción viene des-configurada por un tema claro de seguridad.

Nosotros como somos los administradores del sistema y necesitamos disponer del mayor número de permisos existentes lo vamos a modificar para poder por ejemplo entrar con WinSCP y poder mover a nuestro antojo desde un entorno Windows (amigable) ficheros de una carpeta a otra sin necesidad de entrar con una herramienta como putty para desde una línea de comandos mover los ficheros.

Pues allá vamos:

Lo podemos hacer de 2 formas: Una es accediendo directamente a la máquina y pulsando ALT+F1 para entrar en una sesión de consola y realizar los comandos que os explico a continuación

La otra forma es acceder mediante putty y elevando los permisos.

Entramos con putty a una sesión de pantalla del servidor ESX que vamos a modificar.

Login: <user>

Password: <password>

Escribimos su –

Introducir la contraseña del usuario root

Editar el fichero sshd_config mediante el comando vi /etc/ssh/sshd_config

Pulsar I.

Añadir # delante la línea PermitRootLogin.

Pulsar la tecla Esc y escribir :wq

Escribir el comando: service sshd restart.

A partir de ahora ya podremos acceder directamente sin necesidad de elevar los permisos.

Espero que os sirva de ayuda MegaCracks.

PD: No abuséis de los permisos.

Tags: , , , , , , , , , , ,
Posteado por VMware | 2 Comments »