ميزة وعي المستخدم في (Cato Networks عادةً ما تستورد أحداث سجل التدقيق مباشرة من وحدة التحكم بالمجال (DC). يتم عرض هذه الأحداث في نافذة اكتشاف الأحداث في تطبيق إدارة Cato. تفضل بعض المؤسسات تحويل هذه الأحداث من (DC) إلى خادم Windows آخر (المجمع) وتكوين وعي المستخدم لاستيراد السجلات من ذلك الخادم.
الرسم التالي هو عينة من التحويل لأحداث Windows مع خادمين: أحدهم هو (DC) الذي يعمل كمحول والخادم الثاني هو الجامع. يسحب الجامع الأحداث الأمنية من المحول. يستورد Cato PoP هذه الأحداث من الجامع ويظهرها في تطبيق إدارة Cato.
توضح هذه المقالة كيفية تكوين WEF على خادم Windows.
المتطلبات الأساسية:
مثيلان لخادم windows (2016 أو لاحقاً):
-
محول مع الدليل النشط
-
جامع
لتكوين تحويل سجل الأحداث:
-
تكوين الجامع
-
تكوين المحول
تصف هذه القسم كيفية تكوين مثيل الخادم windows كجامع. الجامع هو الخادم الذي يسحب سجلات الأحداث من خادم المحول (DC).
إدارة Windows عن بعد (WS-Management) هي خدمة من Microsoft تسمح بتوجيه الأحداث إلى الجامع. تعمل هذه الخدمة بشكل تلقائي افتراضيًا، إذا لم يكن كذلك، قم بتكوين الخدمة بحالة: تشغيل ونوع بدء التشغيل: تلقائيًا.
افتح وحدة تحكم Windows PowerShell وقم بتشغيل الأمر: Enable-PSRemoting لتمكين خدمة PowerShell عن بعد. يمكنك التحقق من تمكين PSRemoting عن طريق تشغيل الأمر: Invoke-Command -ComputerName<COLLECTORHOSTNAME> -ScriptBlock {1}. إذا لم تتلقى خطأ، فإن الخدمة تعمل.
لبدء الاشتراك:
-
افتح Viewer الأحداث وانقر على Subscription.
-
تظهر نافذة منبثقة، انقر على Yes لتأكيد تشغيل الخدمة تلقائيًا.
-
انقر بزر الماوس الأيمن اختر Create Subscription.
-
أضف اسم الاشتراك.
-
في سجل الوجهة، اختر ForwardedEvents.
-
تحت نوع الاشتراك وأجهزة الكمبيوتر المصدر، اختر Collector initiated.
-
اضغط على تحديد أجهزة الكمبيوتر وأدخل اسم المضيف للمحول واضغط OK للتطبيق. إذا كان لديك عدة وحدات تحكم بالمجال، أضفها إلى القائمة.
-
انقر على Select Events وتأكد من تحديد مستوى المعلومات: معلومات.
-
اختر حسب السجلات واختر سجلات أحداث الأمان.
-
لتقليل العديد من الأحداث، نوصي بإضافة معرفات الأحداث التي يستخدمها Cato لوعي المستخدم: 4768,4769,4770,4624,5145,5140,4625,4647,4608
تظهر لقطة الشاشة التالية عينة من نافذة خصائص الاشتراك:
تصف هذه القسم كيفية تكوين وحدة التحكم بالمجال كمحول.
افتح وحدة تحكم Windows PowerShell وقم بتشغيل الأمر: wevtutilgl security. يوفر هذا الأمر معلومات حول سجل أحداث الأمان. انسخ سلسلة channelAccess.
-
اذهب إلى Server Manger > Tools > Group Policy Management > Domains > Domain Controllers وانقر على Default Domain Controllers Policy. انقر بزر الماوس الأيمن وانقر تحرير، عندما يتم فتح نافذة سياسة وحدات التحكم بالمجال الافتراضية، انتقل إلى Computer Configuration → Policies → Administrative Templates → Windows Components → Event Forwarding → Configure target Subscription Manager and Set the value for the target subscription manager: Server=http://<FQDN of the collector>:5985/wsman/SubscriptionManager/WEC,Refresh=60
تظهر لقطة الشاشة التالية مثالًا على مدير الاشتراك لخادم “MyCollector”.
2. انتقل إلى Computer Configuration → Policies → Administrative Templates → Windows Components → Event Log Service → Security → Configure log access اختر Enabled والصق سلسلة channelAccess من section أعلاه في لوحة وصول السجل.
تظهر لقطة الشاشة التالية مثالًا على تكوين وصول السجل مع قيمة channelAccess:
اذهب إلى Server Manger > Tools > Active Directory Users and Computers > <Domain name>Builtin, انقر بزر الماوس الأيمن على مجموعة Event Log Readers وانقر على الخصائص. عندما تفتح النافذة، اذهب إلى تبويب الأعضاء وأضف حساب خدمة الشبكة واضغط OK.
افتح سطر الأوامر وقم بتشغيل الأمر gpupdate /force لتحديث GPO. تتطلب التغييرات على هذه المجموعة إعادة التشغيل لتطبيق التغييرات على WinRM.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.