Главная

Friday, 24 April 2020

Windows Event Forwarding - вспомнить все.

Всем привет.

Так уж получилось что опять меня спросили про настройку передачи событий с одного хоста (источник) на сервер (коллектор). Операция несколько тривиальная, но когда ее проходишь редко то кое-что забывается. Перечитав свой блог я заметил что у меня на эту тему было целых 4 поста (ссылки приведены в конце текста). Но ни один из них не дает четкой последовательности действий.  Поэтому сегодня я решим освежить себе, а заодно и вам,  всю процедуру целиком с нового источника. Итак поехали.

Настройка на сервере Windows Event Collector (WEC).

Для настройки Windows Event Forwarding необходимо на сервере, который будет выступать в роли Коллектора логов (сервер WEC) выполнить следующие действия: 

1) Настроить подписку (Event Viewer/Subscriptions): 
Зображення, що містить знімок екрана

Автоматично згенерований опис

Зображення, що містить знімок екрана

Автоматично згенерований опис



2) Включить и настроить службу Windows Remote Management (WinRM): 

- winrm qc 
Зображення, що містить знімок екрана

Автоматично згенерований опис


- winrm get winrm/config 
Зображення, що містить знімок екрана

Автоматично згенерований опис


- wecutil qc выполняет следующие шаги настройки работы с подписками: включает канал ForwardedEvents, устанавливает запуск службы Сборщик событий Windows (Windows Event Collector) в автоматический режим и запускает данную службу. 

 Зображення, що містить знімок екрана

Автоматично згенерований опис

Проверка на сервере WEC: 

1) проверить запущена ли служба WinRM 
2) удостоверьтесь, что локальный фаерволл настроен корректно и разрешает трафик для службы Windows Remote Management (HTTP HTTPS-In, порт 5985/5986) 
3) * нужно добавить “Network Service” и аккаунт машины коллектора в группу “Event Log Users” 
4) в политике “Manage auditing and security log» добавить “Network Service” и аккаунт машины-коллектора на целевом сервере 
5) изучить на предмет ошибок логи EventCollector/Operational и Windows Remote Management/Operational в разделе Event Viewer -> Application and Services Logs -> Microsoft -> Windows. 

Настройка на рабочих станциях: 

На серверах и рабочих станциях (источники событий), с которых будут собираться логи коллектором нужно прежде всего включить отправку логов на удаленный WEC сервер: 

a) Computer Configuration > Policies > Windows Settings > Security Settings > System Services > Windows Remote Management. 

 Зображення, що містить знімок екрана

Автоматично згенерований опис


b) Computer Configuration –> Policies –> Administrative Templates –> Windows components –> Event Forwarding” установить параметр “Configure the server address, refresh interval, and issuer certificate authority of a target Subscription Manager” в значение “Enabled” со следующим значением опции “SubscriptionManagers”:  
Server=http://<Event Collector FQDN>:5985/wsman/SubscriptionManager/WEC 
Server=https://<Event Collector FQDN>:5986/wsman/SubscriptionManager/WEC 

Зображення, що містить знімок екрана

Автоматично згенерований опис


c) Сomputer Configuration > Policies > Administrative Templates > Windows Components > Windows Remote Management > WinRM Service 

Зображення, що містить знімок екрана

Автоматично згенерований опис

d) * Создать разрешение для сервиса Network Logon на чтение Event Log 

e) Включить службу Windows Remote Management: 
- winrm qc 
Зображення, що містить знімок екрана, комп’ютер

Автоматично згенерований опис


Проверка на рабочих станциях: 

1) проверить настройки фаерволла, 
2) проверить запущена ли служба WinRM, 
3) изучить на предмет ошибок логи Eventlog-Forwarding-Plugin и Windows Remote Management в разделе Event Viewer -> Application and Services Logs -> Microsoft -> Windows. 

И напоследок приведу ссылки на публикации где я так или иначе затрагивал эту тему ранее: 





Успехов.

2 comments:

  1. Забыл отметить - пункты отмеченные (*) не обязательны. У меня работает без них.

    ReplyDelete
  2. Collector steps:
    #####################################

    If Collector initiated:
    #####################################
    1) WinRM service autostart: winrm qc
    2) Firewall rule: inbound HTTP port 5985
    3) Specific user as member of "Event Log Readers" group
    4) WinEventCollector service autostart: wecutil qc
    5) Subscription:
    + Select computers(or groups)
    + Select events by Log: Security, Sysmon
    + Advanced: Specific user credentials from #3

    If Clients initiated:
    #####################################
    1) WinRM service autostart: winrm qc
    2) Firewall rule: inbound HTTP port 5985
    4) WinEventCollector service autostart: wecutil qc
    5) Subscription:
    + Select computers groups (Domain Computers)
    + Select events by Log: Security, Sysmon


    Clients steps for both variants:
    #####################################
    1) WinRM service autostart: winrm qc
    2) Firewall rule: inbound HTTP port 5985

    wevtutil sl Security /ca:’O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)’

    wevtutil sl Microsoft-Windows-Sysmon/Operational /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x1;;;BO)(A;;0x1;;;SO)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)

    ReplyDelete

А что вы думаете по этому поводу?