Так уж получилось что опять меня спросили про настройку передачи событий с одного хоста (источник) на сервер (коллектор). Операция несколько тривиальная, но когда ее проходишь редко то кое-что забывается. Перечитав свой блог я заметил что у меня на эту тему было целых 4 поста (ссылки приведены в конце текста). Но ни один из них не дает четкой последовательности действий. Поэтому сегодня я решим освежить себе, а заодно и вам, всю процедуру целиком с нового источника. Итак поехали.
Настройка на сервере Windows Event Collector (WEC).
Для настройки Windows Event Forwarding необходимо на сервере, который будет выступать в роли Коллектора логов (сервер WEC) выполнить следующие действия:
1) Настроить подписку (Event Viewer/Subscriptions):
2) Включить и настроить службу Windows Remote Management (WinRM):
- winrm qc
- winrm get winrm/config
- wecutil qc выполняет следующие шаги настройки работы с подписками: включает канал ForwardedEvents, устанавливает запуск службы Сборщик событий Windows (Windows Event Collector) в автоматический режим и запускает данную службу.
Проверка на сервере WEC:
1) проверить запущена ли служба WinRM
2) удостоверьтесь, что локальный фаерволл настроен корректно и разрешает трафик для службы Windows Remote Management (HTTP HTTPS-In, порт 5985/5986)
3) * нужно добавить “Network Service” и аккаунт машины коллектора в группу “Event Log Users”
4) в политике “Manage auditing and security log» добавить “Network Service” и аккаунт машины-коллектора на целевом сервере
5) изучить на предмет ошибок логи EventCollector/Operational и Windows Remote Management/Operational в разделе Event Viewer -> Application and Services Logs -> Microsoft -> Windows.
Настройка на рабочих станциях:
На серверах и рабочих станциях (источники событий), с которых будут собираться логи коллектором нужно прежде всего включить отправку логов на удаленный WEC сервер:
a) Computer Configuration > Policies > Windows Settings > Security Settings > System Services > Windows Remote Management.
b) Computer Configuration –> Policies –> Administrative Templates –> Windows components –> Event Forwarding” установить параметр “Configure the server address, refresh interval, and issuer certificate authority of a target Subscription Manager” в значение “Enabled” со следующим значением опции “SubscriptionManagers”:
Server=http://<Event Collector FQDN>:5985/wsman/SubscriptionManager/WEC
Server=https://<Event Collector FQDN>:5986/wsman/SubscriptionManager/WEC
c) Сomputer Configuration > Policies > Administrative Templates > Windows Components > Windows Remote Management > WinRM Service
d) * Создать разрешение для сервиса Network Logon на чтение Event Log
e) Включить службу Windows Remote Management:
- winrm qc
Проверка на рабочих станциях:
1) проверить настройки фаерволла,
2) проверить запущена ли служба WinRM,
3) изучить на предмет ошибок логи Eventlog-Forwarding-Plugin и Windows Remote Management в разделе Event Viewer -> Application and Services Logs -> Microsoft -> Windows.
И напоследок приведу ссылки на публикации где я так или иначе затрагивал эту тему ранее:
Успехов.
Забыл отметить - пункты отмеченные (*) не обязательны. У меня работает без них.
ReplyDeleteCollector steps:
ReplyDelete#####################################
If Collector initiated:
#####################################
1) WinRM service autostart: winrm qc
2) Firewall rule: inbound HTTP port 5985
3) Specific user as member of "Event Log Readers" group
4) WinEventCollector service autostart: wecutil qc
5) Subscription:
+ Select computers(or groups)
+ Select events by Log: Security, Sysmon
+ Advanced: Specific user credentials from #3
If Clients initiated:
#####################################
1) WinRM service autostart: winrm qc
2) Firewall rule: inbound HTTP port 5985
4) WinEventCollector service autostart: wecutil qc
5) Subscription:
+ Select computers groups (Domain Computers)
+ Select events by Log: Security, Sysmon
Clients steps for both variants:
#####################################
1) WinRM service autostart: winrm qc
2) Firewall rule: inbound HTTP port 5985
wevtutil sl Security /ca:’O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)’
wevtutil sl Microsoft-Windows-Sysmon/Operational /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x1;;;BO)(A;;0x1;;;SO)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)