Kontrolle "Administration mit voller Berechtigung"

[Matze69]

Hallo,

bei uns im Prüfungsbericht steht eine Tätigkeit "Funktion Administration mit voller Berechtigung prüfen". Wie bzw. wo kann ich als Admin das überprüfen, wer als weiterer Admin mit dieser Funktion gearbeitet hat?

Vielen Dank.

[Tode]

im Log... wenn ihr aber keine Events drauf gesetzt habt, die das langfristig archivieren, dann kannst Du nur so weit zurück prüfen wie die Logs gehen (Standard: 7 Tage)...

[Matze69]

Hallo,
sehe im Log unter "Verschiedene Ereignisse" nur wenn ein Agent den Full-Adminstrator nutzt, aber nicht wenn ein Admin den Admin mit voller Berechtigung startet....

[Tode]

Keine Ahnung warum. Bei mir im Log sieht das so aus:

04.05.2020 09:17:38   Torsten Link/Freiburg/Bxxxxx/DE was granted full administrator access.

[Pfefferminz-T]

So sieht die Meldung auch allen mir bekannten Umgebungen aus. Es gibt dann ein Server and Addin Task Event 0x17B1 über das man in der events4 ein entsprechendes Monitoring einbauen kann (Mail an... senden, Log in Datenbank, etc.)

[DomAdm]

Hallo,

die Anleitung dazu:
How to receive notification when users enable "Full Access Administration" mode
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0034111&sys_kb_id=c202ac241b6df30083cb86e9cd4bcb42

Nur der Text des Events muss "granted full administrator access" sein.

[Matze69]

Vielen Dank.
Hat funktioniert.

[Bastel123]

Und ich wollte clever sein und mir die Meldungen statt in die statrep.nsf (Statistikberichte) in die ddm.nsf (Domino Domain Monitor) schicken lassen. Hier schaue ich täglich rein und kann die Events auch länger stehen lassen.

Die Dokumente werden erzeugt, aber schade, die Masken sind leider nicht nur vom Namen her unterschiedlich: "Event" in der statrep.nsf und "fmEvent" in der ddm.nsf, so dass die Dokumente nicht zu sehen sind. Ein Umbenennen der Masken bringt auch nichts, da die Felder auch unterschiedlich sind.

Also bleibt nur der Versand einer Mail in eine Mailin-DB

Sebastian

[Matze69]

Also bleibt nur der Versand einer Mail in eine Mailin-DB

Sebastian

Wann müsste die Mail ankommen - erst am nächsten Tag oder?
Habe heute morgen den Admin mit voller Berechtigung genutzt und noch keine Mail erhalten....

[DomAdm]

gerade noch mal getestet, mail kommt ein paar sekunden später an

[Tode]

@Sebastian: Dafür gibt es doch bereits jede Menge vorgefertigte Events: Einfach mal in der Ansicht "Advanced - Event messages by Text" nach "full administrator" suchen, da findest Du die Events. Wenn Du denn nun noch die richtige Severity gibst (Standard ist "Normal"), die zu Deinen DDM- Einstellungen passt, dann landen die doch automatisch in Deiner DDM...

Hier mal ein paar Beispiele:

Value	Severity	Text
0x33C0	Warning (Low)	AMgr: Agent '<string>' in database '<string>' signed by '<string>' is running in Full Administrator mode
0x17B1	Normal	<name> was granted full administrator access.
0x17B0	Normal	<name> was denied full administrator access.

[Bastel123]

@Torsten

die Events hatte ich schon gefunden und gesetzt.

Die Dokumente sind ja auch erzeugt, aber nicht angezeigt worden (falsche Maske).

Hier ein paar Daten
Server: 10.0.1FP3
Template ddm.nsf: StdDomainMonitor 9.0 (1.11.2012)
Template events4.nsf: StdR4Events 10.0 (24.08.2018)

In den Bildern sieht man die auslösenden Events und die Items des in der ddm.nsf erzeugten Dokuments.
Die Ansichten in der ddm.nsf haben alle als Auswahlkriterium Form = "fmEvent".

Kann das einer nachstellen oder bin ich nur zu bl...?

Gruß Sebastian

[DomAdm]

Hallo

Wenn Du in der Events DB diesen Events:
<name> was granted full administrator access.
<name> was denied full administrator access.
die richtige Severity gibst so wie diese in dem DDM Default Filter in der Ansicht "DDM Filters"
der events4.nsf definiert sind, dann brauchst Du die zwei "Log to the database ddm.nsf ..." Dokumente nicht
und die Meldung erscheint in der ddm.nsf

[Bastel123]

Hallo Jakob, hallo Torsten

ich habe die "Severity" auf "high" gesetzt und meine eigenen Events "disabled". Die Dokumente werden auch brav in der ddm.nsf erzeugt, haben aber weiterhin die Maske "Event" und sind somit nicht sichtbar. 

Siehe auch Screenshot in meinem vorherigen Post.

Was kann denn da falsch laufen?

Gruß
Sebastian

[DomAdm]

bei mir haben die entsprechenden Einträge in der ddm.nsf die Maske "fmEvent"
Der Eintrag in der Statrep hat die Maske "Event"
Prüf doch bitte die events4.nsf noch einmal.

[Bastel123]

Mir ist nix aufgefallen, ich habe mal das Dokument für den Event "0x17B1" in der event4.nsf als xml exportiert und zum hochladen in txt umbenannt. Wieder in xml umbenannt lässt es sich gut öffnen.

Vielen Dank für Eure Mühe und Geduld.

Gruß Sebastian