كيفية تكوين توزيع أحداث Windows لوعي المستخدم

نظرة عامة

ميزة وعي المستخدم في (Cato Networks عادةً ما تستورد أحداث سجل التدقيق مباشرة من وحدة التحكم بالمجال (DC). يتم عرض هذه الأحداث في نافذة اكتشاف الأحداث في تطبيق إدارة Cato. تفضل بعض المؤسسات تحويل هذه الأحداث من (DC) إلى خادم Windows آخر (المجمع) وتكوين وعي المستخدم لاستيراد السجلات من ذلك الخادم.

الرسم التالي هو عينة من التحويل لأحداث Windows مع خادمين: أحدهم هو (DC) الذي يعمل كمحول والخادم الثاني هو الجامع. يسحب الجامع الأحداث الأمنية من المحول. يستورد Cato PoP هذه الأحداث من الجامع ويظهرها في تطبيق إدارة Cato.

blobid0.png

توضح هذه المقالة كيفية تكوين WEF على خادم Windows.

تكوين تحويل سجل الأحداث مع خادمي Windows

المتطلبات الأساسية:

مثيلان لخادم windows (2016 أو لاحقاً):

  • محول مع الدليل النشط

  • جامع

لتكوين تحويل سجل الأحداث:

  • تكوين الجامع

  • تكوين المحول

تكوين جامع سجل الأحداث

تصف هذه القسم كيفية تكوين مثيل الخادم windows كجامع. الجامع هو الخادم الذي يسحب سجلات الأحداث من خادم المحول (DC).

تمكين إدارة Windows عن بعد (WinRM)

إدارة Windows عن بعد (WS-Management) هي خدمة من Microsoft تسمح بتوجيه الأحداث إلى الجامع. تعمل هذه الخدمة بشكل تلقائي افتراضيًا، إذا لم يكن كذلك، قم بتكوين الخدمة بحالة: تشغيل ونوع بدء التشغيل: تلقائيًا.

تمكين تشغيل PowerShell عن بعد

افتح وحدة تحكم Windows PowerShell وقم بتشغيل الأمر: Enable-PSRemoting لتمكين خدمة PowerShell عن بعد. يمكنك التحقق من تمكين PSRemoting عن طريق تشغيل الأمر: Invoke-Command -ComputerName<COLLECTORHOSTNAME> -ScriptBlock {1}. إذا لم تتلقى خطأ، فإن الخدمة تعمل.

بدء خدمة جامع الاشتراك

لبدء الاشتراك:

  1. افتح Viewer الأحداث وانقر على Subscription.

  2. تظهر نافذة منبثقة، انقر على Yes لتأكيد تشغيل الخدمة تلقائيًا.

  3. انقر بزر الماوس الأيمن اختر Create Subscription.

  4. أضف اسم الاشتراك.

  5. في سجل الوجهة، اختر ForwardedEvents.

  6. تحت نوع الاشتراك وأجهزة الكمبيوتر المصدر، اختر Collector initiated.

  7. اضغط على تحديد أجهزة الكمبيوتر وأدخل اسم المضيف للمحول واضغط OK للتطبيق. إذا كان لديك عدة وحدات تحكم بالمجال، أضفها إلى القائمة.

  8. انقر على Select Events وتأكد من تحديد مستوى المعلومات: معلومات.

  9. اختر حسب السجلات واختر سجلات أحداث الأمان.

  10. لتقليل العديد من الأحداث، نوصي بإضافة معرفات الأحداث التي يستخدمها Cato لوعي المستخدم: 4768,4769,4770,4624,5145,5140,4625,4647,4608

تظهر لقطة الشاشة التالية عينة من نافذة خصائص الاشتراك:

blobid1.png

تكوين ملف سجل الأحداث المحولة

لتكوين ملف الأحداث المحولة لاستخدام الأحداث الأمنية:

  1. افتح Viewer الأحداث وانتقل إلى سجلات Windows > ForwardedEvents

  2. انقر بزر الماوس الأيمن على ForwardedEvents وانقر على خصائص

  3. غير مسار السجل إلى ملف %..\Security.evtx وانقر OK

blobid5.png

تكوين المحول (وحدة التحكم بالمجال)

تصف هذه القسم كيفية تكوين وحدة التحكم بالمجال كمحول.

السماح بأذونات القراءة لسجل الأحداث الأمنية

افتح وحدة تحكم Windows PowerShell وقم بتشغيل الأمر: wevtutilgl security. يوفر هذا الأمر معلومات حول سجل أحداث الأمان. انسخ سلسلة channelAccess.

تكوين إدارة السياسات الجماعية للمحول

  • اذهب إلى Server Manger > Tools > Group Policy Management > Domains > Domain Controllers وانقر على Default Domain Controllers Policy. انقر بزر الماوس الأيمن وانقر تحرير، عندما يتم فتح نافذة سياسة وحدات التحكم بالمجال الافتراضية، انتقل إلى Computer Configuration → Policies → Administrative Templates → Windows Components → Event Forwarding → Configure target Subscription Manager and Set the value for the target subscription manager: Server=http://<FQDN of the collector>:5985/wsman/SubscriptionManager/WEC,Refresh=60

تظهر لقطة الشاشة التالية مثالًا على مدير الاشتراك لخادم “MyCollector”.

blobid3.jpg

2. انتقل إلى Computer Configuration → Policies → Administrative Templates → Windows Components → Event Log Service → Security → Configure log access اختر Enabled والصق سلسلة channelAccess من section أعلاه في لوحة وصول السجل.

تظهر لقطة الشاشة التالية مثالًا على تكوين وصول السجل مع قيمة channelAccess:

blobid4.png

إضافة خدمة الشبكة إلى مجموعة قارئي سجل الأحداث

اذهب إلى Server Manger > Tools > Active Directory Users and Computers > <Domain name>Builtin, انقر بزر الماوس الأيمن على مجموعة Event Log Readers وانقر على الخصائص. عندما تفتح النافذة، اذهب إلى تبويب الأعضاء وأضف حساب خدمة الشبكة واضغط OK.

افتح سطر الأوامر وقم بتشغيل الأمر gpupdate /force لتحديث GPO. تتطلب التغييرات على هذه المجموعة إعادة التشغيل لتطبيق التغييرات على WinRM.

التحقق من تحويل سجل الأحداث

عند اكتمال تكوين الجامع والمحول، انتقل إلى خادم الجامع وافتح Viewer الأحداث وانتقل إلى Windows Logs > Forwarded Events. تأكد من قدرتك على رؤية الأحداث في هذا القسم.

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات