Главная

Sunday, 19 August 2018

Event Log Forwarding как бесплатный коллектор событий.

Всем привет. 

Продолжаем тему SIEM.

Поговорим немного про сами события, и как их можно собрать до установки SIEM.

Начиная с версии Windows 2008 Server появилась возможность по работе с журналами событий называемая  Event Log Forwarding (subscription), которая основана на технологии WinRM. Данная функция позволяет вам получить все события со всех журналов с множества серверов(и станций) без использования сторонних продуктов и настраивается все это в течении всего пары минут. Если повезет то все заработает сразу.) Возможно, именно эта технология позволит вам отказаться от платных сборщиков событий типа Splunk. Хотя надо помнить что Event Log Forwarding из коробки работает только с событиями OS Windows.

Итак у вас есть сервер Windows 2008+, запущенный в качестве коллектора логов с одного или нескольких источников. В качестве подготовительной работы нужно выполнить несколько шагов.

Для настройки Windows Event Forwarding необходимо на сервере, который будет выступать в роли Коллектора логов (сервер Windows Event Collector) выполнить следующие действия:
  • Настроить подписку (Subscription);
  • Включить и настроить службу Windows Remote Management (WinRM).

На серверах и рабочих станциях (Источник событий), с которых будут собираться логи коллектором нужно выполнить:
  • Включить отправку логов на удаленный WEC сервер;
  • Создать разрешение для сервиса Network Logon на чтение Event Log;
  • Включить службу Windows Remote Management.

Пошагово можно глянуть тут и тут.


Как часто это работает? Встроенные профили подписки имеет следующие настройки частоты передачи событий:
Normal – каждые 15 минут;
Minimize Bandwidth –каждые 6 часов;
Minimize Latency – каждые 30 секунд.

В графическом интерфейсе нет возможности задать собственную частоту отправки журналов. 
Это можно сделать через командную строку командой wecutil:
«wecutil ss /cm:Custom»
«wecutil ss /hi: миллисекунды»

Что предпочтительнее - коллектор как инициатор или источник?

Тут наверно все зависит от вашей инфраструктуры (размер, межсетевые экраны, разделение полномочий и т.д.). Настройка коллектора инициатора проста, если есть несколько серверов, с которых нужно собирать события. В больших доменах лучше все-таки источник. В этом случае, проще один раз настроить GPO и группы серверов в AD. Добавление/удаление сервера в такой конфигурации гораздо проще.

Что делать в том случае если все настроили а сбор логов не работает?

На сервере WEC:
  • проверить запущена ли служба WinRM,
  • удостоверьтесь, что локальный фаерволл настроен корректно и разрешает трафик для службы Windows Remote Management (HTTP-In), порт 5985.
  • нужно добавить “Network Service” и аккаунт машины коллектора в группу “Event Log Users”
  • в политике “Manage auditing and security log» добавить “Network Service” и аккаунт машины-коллектора на целевом сервере,
  • изучить на предмет ошибок логи EventCollector и Windows Remote Management в разделе Event Viewer -> Application and Services Logs -> Microsoft -> Windows.

На клиенте:
  • проверить настройки фаерволла,
  • проверить запущена ли служба WinRM,
  • изучить на предмет ошибок логи Eventlog-Forwarding-Plugin и Windows Remote Management в разделе Event Viewer -> Application and Services Logs -> Microsoft -> Windows.


Заработало? Чудесно.

Теперь задача с построением самой SIEM упрощается ибо вы можете анализировать события с одного сервера WEC.

No comments:

Post a Comment

А что вы думаете по этому поводу?