Срок сертификата и Eventlog [Версия для КПК] - Компьютерный форум OSzone.net

Показать полную графическую версию : Срок сертификата и Eventlog

as_lan

24-12-2016, 17:13

Дано:
1. Exchange 2016
2. Сертификаты Letsencrypt
3. Мониторинг Eventlog

Итак. Есть почтовый сервер с сертификатами Letsencrypt. Все работает, все замечательно, сертификаты даются на 90 дней, есть задание на их автоматическое продление. Так же есть настроенный мониторинг Eventlog (средствами Zabbix). Все бы ничего, но в журнале каждые несколько минут появляются записи, что сертификаты истекут через столько-то часов. У exchange где-то указанно, что если до окончания срока сертификата осталось менее 90 дней, то в журнале будет создана запись об этом. Из-за этого система мониторинга постоянно сообщает, что на таком то сервере в журнале есть ошибки.

Что нужно. Нужно как-то сказать почтовику, чтоб в журнале писал об ошибке, если срок окончания сертификата был менее 10 дней допустим. Я прекрасно знаю что он на 90 дней, но мне не нужно об этом в день по сотне раз напоминать ошибкой в журнале. Полностью выключать проверку сертификата нежелательно. Разве что как крайний вариант.

Настроить игнорирование этой ошибки в забиксе не предлагать. Меня интересует либо изменение минимального срока (с 90 на 10 например), либо полностью выключить проверку (это крайний вариант)

Излазил весь интернет. Везде лишь разговор о продлении сертифката. Но мне это не подходит. letsencrypt дает только на 90 дней. Копался в конфигах и реестре. Так же ничего путного ненашел.

Pavel Nagaev

15-02-2017, 09:28

это внутренняя система мониторинга жужжит, у некоторых мониторов можно настроить override.

Проверьте это, если получится, отпишитесь.

Hi David,

For your issue, I didn’t find any official documentations. But I do found an blog about how to override the Managed Availability settings.

Title: Customizing Managed Availability

Link: http://blogs.technet.com/b/exchange/archive/2013/08/13/customizing-managed-availability.aspx

In above article form the “Get Configuration Details” section, we should first get the configurations:

Use command
(Get-WinEvent -LogName Microsoft-Exchange-ActiveMonitoring/ProbeDefinition | % {[XML]$_.toXml()}).event.userData.eventXml | ?{$_.Name -like " ServerCertExpiresSoon"}

Note: We can use “ServerCertExpiresSoon” or other name to try.

2. We can also use Event Viewer to get the details of probe definition. The configuration details most of the Probes are stores in the ProbeDefinition channel:

Open Event Viewer, and then expand Applications and Services Logs\Microsoft\Exchange\ActiveMonitoring\ProbeDefinition.
Click on Find, and then enter ServerCertExpiresSoon.
The General tab does not show much detail, so click on the Details tab, it has the configuration details specific to this probe. Alternatively, you can copy the event details as text and paste it into Notepad or your favorite editor to see the details.
Then we can view all the configuration settings. Find if we have any settings related to the expiration date; if any, we can try to override the setting by command like below:

Add-GlobalMonitoringOverride -Identity "Transport/Transport.ServerCertExpiresSoon.Monitor" -ItemType Probe -PropertyName “Property_we_find_in_event” -PropertyValue “Property_value” –ApplyVersion “server_version_to_apply” –Duration 60

Please try above two methods to first get the certification expiration related configurations and post in the thread.

as_lan

05-06-2017, 09:24

Pavel Nagaev,
К сожалению не мог раньше проверить. Только сейчас руки дошли. И способ не работает.
1.Get-WinEvent -LogName Microsoft-Exchange-ActiveMonitoring/ProbeDefinition не выдает ничего даже близко связанного со сертификатами.
2. Services Logs\Microsoft\Exchange\ActiveMonitoring\ProbeDefinition. В этом журнале у меня нет записей ServerCertExpiresSoon

as_lan

05-06-2017, 12:30

К тому же как я понял, тут задались тем же вопросом. https://social.technet.microsoft.com/Forums/lync/en-US/078caf9a-0cb2-4ad0-aac7-ab5967da1e5b/monitoring-transportservercertexpiresoonmonitor-property-value?forum=exchangesvradmin
и один из участников говорит, что скорее всего это невозможно. 90 дней железно вбиты.