👋 Привет, админы!

Если у вас больше одного сервера, вручную выискивать RDP-брутфорс или другие попытки взлома — гиблое дело. Нам нужен централизованный сбор логов, особенно событий типа 4625, 4624, 4778 и т.п.

🎯 Есть несколько вариантов. Сегодня покажу один из самых доступных:
Windows Event Forwarding (WEF) + Event Collector.

📌 Как это работает:
- Сервер выступает как Collector (принимает логи)
- Клиенты (другие Windows-машины) — подписчики
- Всё через встроенный WinRM и GPO



🛠️ Настройка WEF в 3 шага

1. Включаем службу на Collector’е:

wecutil qc

Это создаст необходимую подписку и включит службу Windows Event Collector.

2. Создаём подписку:

# Открыть Event Viewer → Subscriptions → Create Subscription

- Тип: Collector initiated
- Event log: Security
- Filter: Id=4625;4624;4778
- Advanced: выбрать нужные LogonType, если хотите только RDP

3. Настраиваем GPO на клиентах:

В GPO для машин, откуда хотим собирать логи:

- Computer Configuration → Administrative Templates → Windows Components → Event Forwarding
- Configure target Subscription Manager
Значение: Server=https://COLLECTOR:5985/wsman/SubscriptionManager/WEC

- Включаем WinRM:

Enable-PSRemoting -Force

📊 После настройки Collector будет видеть все входы/неудачные попытки и прочие события в одном месте.

Можно дальше интегрировать:
- в SIEM (например, Wazuh, ELK, Sentinel)
- или просто логировать/оповещать через PowerShell скрипты

💬 А вы уже собираете логи централизованно? Или только на проде? Что используете — WEF, Syslog, Agent’ы?

👉 @win_sysadmin

🎯 Проверка доступности портов: nmap, netcat, telnet, nc

Иногда нужно быстро проверить, доступен ли нужный порт на удалённой машине. Вот шпаргалка по самым популярным способам:


🔹 TCP-порты

Netcat:

# Проверка конкретного порта
netcat domain.com 80

# Сканирование диапазона портов
netcat -z -v domain.com 1-1000

# Слушать порт 4444 на хосте
netcat -l 4444

# Проверка подключения к удалённому netcat
netcat domain.com 4444

NC (аналог Netcat):

nc -vt <ip> <port>

Telnet:

telnet <ip> <port>

Nmap:

# Проверка TCP-порта 25
nmap -p25 11.11.11.11

🔹 UDP-порты

Netcat:

netcat -u <host> <port>

NC:

nc -vu <ip> <port>

Nmap:

# Проверка UDP-порта 53
nmap -sU -p U:53 11.1.11.12

📌 Удобно сохранять в закладки — пригодится в любой момент.

👉 @sysadminof

Потерян и не найден: каталог в Linux и UNIX

В этой статье я попытался разобрать назначение и основные сценарии использования директории lost+found в Linux.

Если мы запустим fsck, команду проверки и восстановления файловой системы, она может найти фрагменты данных, на которые нет ссылок нигде в файловой системе. В частности, могут быть обнаружены данные, которые выглядят как полный файл, но не имеют имени в системе — индексный дескриптор без соответствующего имени файла. Они по-прежнему занимают место, но недоступны обычными способами, поэтому в корне файловой системы присутствует специальная директория lost+found, куда помещаются такие файлы.

Таким образом, рассматриваемый каталог служит временным хранилищем для тех редких случаев, когда fsck не может собрать все обратно после повреждения файловой системы.

При каких сценариях файлы могут оказаться там?

https://habr.com/ru/companies/timeweb/articles/789908/

👉 @sysadminof

htop

htop — продвинутый системный монитор для Linux. Он был предназначен заменить стандартную программу top. Htop показывает динамический список системных процессов, список обычно сортируется по использованию CPU. Htop, в отличие от top, показывает все процессы в системе. Также показывает время непрерывной работы, использование процессоров и памяти.
Htop часто применяется в тех случаях, когда информации, предоставляемой утилитой top, недостаточно, например, при поиске утечек памяти в процессах. Htop написан на языке Си и использует для отображения библиотеку Ncurses.

Установка: sudo apt-get install htop
После установки запускаем командой htop

PID - идентификатор процесса.
USER - владелец процесса.
PRI - текущий приоритет (влияет на процессорное время, отводимое процессу, значение по умолчанию - 20; чем меньше приоритет, тем больше времени отводится процессу => он выполняется быстрее).
VIRT - размер виртуальной памяти, выделенной под процесс.
CPU% - использование процессора в процентном отношении.
MEM% - использование процессом памяти в процентном отношении.
TIME+ - время работы процесса.
Command - указывает на команду, которой был запущен процесс.

Управление производится с помощью функциональных клавиш (F1 - F10):
F1 - справка;
F2 - настройки;
F3 - поиск процесса;
F4 - сортировка списка процессов (от большего к меньшему или от меньшего к большему);
F5 - устанавливает древовидное отображение (корни - родительские процессы, а листья - дочерние) и наоборот;
F6 - открывает панель с выбором параметра сортировки процессов;
F7 - увеличить приоритет выполнения текущего процесса (реализовано вычитанием единицы из текущего значения nice);
F8 - уменьшить приоритет выполнения текущего процесса. Добавляет единицу к текущему значению nice (увеличение или уменьшение приоритета процесса доступно только суперпользователям).
F9 - убить процесс
F10 - выйти из программы

👉 @sysadminof

Осталось всего 2 дня, чтобы убедиться, правильно ли вы настроили GitLab Runner

16 апреля в 20:00 Николай Осипов — эксперт по внедрению MLOps и DevOps-практик, преподаватель курсов по CI/CD, DevOps и Data Engineering в Otus — расскажет:

— о частых ошибках при конфигурации GitLab Runner
— как стабилизировать пайплайны
— как повысить производительность

❗️Если вы отвечаете за CI/CD-инфраструктуру и хотите избежать «подводных камней» — этот вебинар для вас.

Каждый участник:
— сможет задать вопросы эксперту
— получит скидку на полный курс по CI/CD на основе GitLab

👉 Не упустите шанс укрепить свои навыки — регистрируйтесь, пока осталось 2 дня!

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

Systemd: База или Кринж?

источник

👉 @sysadminof