কীভাবে উইন্ডোজ ইভেন্ট ফরওয়ার্ডিং কনফিগার করে ব্যবহারকারীদের সচেতনতা বাড়াবেন

সারসংক্ষেপ

Cato নেটওয়ার্ক-এর ব্যবহারকারী সচেতনতা ফিচার সাধারণত ডোমেন নিয়ন্ত্রক (DC) থেকে অডিট লগ ইভেন্টগুলি সরাসরি আমদানী করে। এই লগ ইভেন্টগুলি Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন-এর ইভেন্ট আবিষ্কার উইন্ডোতে প্রদর্শিত হয়। কিছু প্রতিষ্ঠান এই ইভেন্টগুলিকে DC (ফরওয়ার্ডার) থেকে অন্য উইন্ডোজ সার্ভার (সংগ্রাহক) এ ফরওয়ার্ড করতে পছন্দ করে এবং ব্যবহারকারী সচেতনতা সেটিংস কনফিগার করে সেই সার্ভার থেকে লগ আমদানী করে।

নিচের ডায়াগ্রামটি ২টি সার্ভারের সাথে উইন্ডোজ ইভেন্ট ফরোয়ার্ডিং (WEF) এর একটি উদাহরণ: একটি সার্ভার হছে ফরওয়ার্ডার হিসাবে কাজ করে এমন DC এবং দ্বিতীয় সার্ভারটি হচ্ছে সংগ্রাহক। সংগ্রাহক ফরওয়ার্ডার থেকে নিরাপত্তা ইভেন্টগুলি টেনে নেয়। Cato PoP এই ইভেন্টগুলিকে সংগ্রাহক থেকে আমদানী করে এবং Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন-এ তাদের প্রদর্শন করে।

এই নিবন্ধটি উইন্ডোজ সার্ভারে WEF কনফিগার করার পদ্ধতি ব্যাখ্যা করে।

দুটি উইন্ডোজ সার্ভার দিয়ে ইভেন্ট লগ ফরওয়ার্ডিং কনফিগার করা

প্রয়োজনীয়তা:

দুটি উইন্ডোজ সার্ভার (২০১৬ বা পরবর্তিতে) ইনস্ট্যান্স:

সক্রিয় ডিরেক্টরি সহ ফরওয়ার্ডার
সংগ্রাহক

ইভেন্ট লগ ফরওয়ার্ডিং কনফিগার করতে:

সংগ্রাহক কনফিগার করুন

ফরওয়ার্ডার কনফিগার করুন

ইভেন্ট লগ সংগ্রাহক কনফিগার করা

এই সেকশন উইন্ডোজ সার্ভার ইনস্ট্যান্সকে সংগ্রাহক হিসেবে কনফিগার করার পদ্ধতি বর্ণনা করা হয়েছে। সংগ্রাহক হলো সেই সার্ভার যা ইভেন্ট লগগুলি ফরওয়ার্ডার সার্ভার (DC) থেকে টেনে নিয়ে আসে।

উইন্ডোজ রিমোট ব্যবস্থাপনা (WinRM) সক্রিয় করা

উইন্ডোজ রিমোট ব্যবস্থাপনা (WS-Management) একটি Microsoft সেবা যা ইভেন্টগুলি সংগ্রাহকের কাছে ফরওয়ার্ড করার সুযোগ দেয়। এই সেবা ডিফল্টভাবে স্বয়ংক্রিয়ভাবে চলমান থাকে, যদি না হয়, তবে সেবা কনফিগারেশনে স্থিতি: চলমান এবং স্টার্টআপ প্রকার: স্বয়ংক্রিয়ভাবে সেট করুন।

পাওয়ারশেল রিমোটিং সক্রিয় করা

উইন্ডোজ পাওয়ারশেল কনসোল খুলুন এবং কমান্ডটি চালান: Enable-PSRemoting পাওয়ারশেল রিমোট সেবা সক্রিয় করতে। আপনি কমান্ডটি চালিয়ে নিশ্চিত করতে পারেন যে PSRemoting সক্রিয় হয়েছে: Invoke-Command -ComputerName<COLLECTORHOSTNAME> -ScriptBlock {1}। আপনি যদি কোনো ত্রুটি না পান তবে সেবা চলমান।

সাবস্ক্রিপশন সংগ্রাহক সেবা শুরু করা

সাবস্ক্রিপশন শুরু করতে:

ইভেন্ট ভিউয়ার খুলুন এবং সাবস্ক্রিপশন. এ ক্লিক করুন
একটি পপআপ উইন্ডো প্রদর্শিত হবে, সেবা স্বয়ংক্রিয়ভাবে চালানোর জন্য নিশ্চিত করতে হ্যাঁ এ ক্লিক করুন।
ডান ক্লিক করুন এবং নির্বাচন করুন সাবস্ক্রিপশন তৈরি করুন.
সাবস্ক্রিপশন নাম যোগ করুন।
গন্তব্য লগে, ForwardedEvents। নির্বাচন করুন
সাবস্ক্রিপশন টাইপ এবং উৎস কম্পিউটারগুলির নিচে, Collector initiated। নির্বাচন করুন
নির্বাচন করুন কম্পিউটার এবং ফরোয়ার্ডার হোস্টনেম প্রবেশ করুন এবং প্রয়োগ করতে ঠিক আছে ক্লিক করুন। যদি আপনার একাধিক DC থাকে, তাদের তালিকায় যোগ করুন।
Select Events এ ক্লিক করুন এবং ইভেন্ট লেভেল: তথ্য নির্ধারিত হয়েছে তা নিশ্চিত করুন।
লগ দ্বারা নির্বাচন করুন এবং সিকিউরিটি ইভেন্টস লগগুলি পছন্দ করুন।
অনেক ইভেন্ট কমাতে, আমরা সুপারিশ করছি যে আপনি ব্যবহারকারী সচেতনতা জন্য Cato দ্বারা ব্যবহৃত ইভেন্ট IDs যোগ করুন: 4768,4769,4770,4624,5145,5140,4625,4647,4608

নিম্নলিখিত স্ক্রিনশট একটি সাবস্ক্রিপশন প্রোপার্টিজ উইন্ডোর উদাহরণ দেখায়:

Forwarded ইভেন্টস লগ ফাইল কনফিগার করা হচ্ছে

সিকিউরিটি ইভেন্ট ব্যবহার করতে ফরোয়ার্ডেড ইভেন্ট ফাইল কনফিগার করতে:

ইভেন্ট ভিউয়ার খুলুন এবং উইন্ডোজ লগে যান > ForwardedEvents
ForwardedEvents এ রাইট ক্লিক করুন এবং প্রোপার্টিজ এ ক্লিক করুন
লগ পথ %..\Security.evtx ফাইলে পরিবর্তন করুন এবং তথ্য দিবেন এ ক্লিক করুন

ফরওয়ার্ডার (DC) কনফিগার করা

এই সেকশনটি বর্ণনা করবে কিভাবে DC কে ফরোয়ার্ডার হিসাবে কনফিগার করা যায়।

নিরাপত্তা ইভেন্ট লগের জন্য পড়ার অনুমতি সীমা প্রদান করা হচ্ছে

উইন্ডোজ পাওয়ারশেল কনসোল খুলুন এবং কমান্ড চালান: wevtutilgl নিরাপত্তা। এই কমান্ডটি নিরাপত্তা ইভেন্ট লগ সম্পর্কে তথ্য প্রদান করে। channelAccess স্ট্রিংটি কপি করুন।

ফরওয়ার্ডারের জন্য গ্রুপ পলিসি ম্যানেজমেন্ট কনফিগার করা হচ্ছে

Server Manger > Tools > প্রশাসক গ্রুপ Policy Management > ডোমেইনস > ডোমেইন নিয়ন্ত্রক এ যান এবং ডিফল্ট ডোমেইন নিয়ন্ত্রক নীতি এ ক্লিক করুন। ডান ক্লিক করুন এবং সম্পাদনা করুন ক্লিক করুন, যখন ডিফল্ট ডোমেইন নিয়ন্ত্রক নীতি উইন্ডোটি খুলবে, তখন কম্পিউটার কনফিগারেশন → নীতি → প্রশাসনিক টেমপ্লেট → উইন্ডোজ কম্পোনেন্টস → ইভেন্ট ফরওয়ার্ডিং → লক্ষ্য কনফিগার করুন সাবস্ক্রিপশন ম্যানেজার এবং লক্ষ্য সাবস্ক্রিপশন ম্যানেজারের জন্য মান সেট করুন: সার্ভার=http://<কালেক্টরের পুরো ডোমেইন নাম>:5985/wsman/SubscriptionManager/WEC,Refresh=60

নিম্নলিখিত স্ক্রীনশট "MyCollector" সার্ভারের জন্য একটি সাবস্ক্রিপশন ম্যানেজারের উদাহরণ দেখায়।

2. কম্পিউটার কনফিগারেশন → নীতি → প্রশাসনিক টেমপ্লেট → উইন্ডোজ কম্পোনেন্টস → ইভেন্ট লগ সার্ভিস → নিরাপত্তা → লগ অ্যাক্সেস কনফিগার করুন-এ যান, সক্রিয়কৃত নির্বাচন করুন এবং উপরে উল্লেখিত সেকশন থেকে channelAccess স্ট্রিংটি লগ এক্সেস প্যানেলে পেস্ট করুন।

নিম্নলিখিত স্ক্রীনশটটি channelAccess মান সহ লগ অ্যাক্সেস কনফিগারেশনের একটি উদাহরণ দেখায়:

নেটওয়ার্ক সার্ভিসকে ইভেন্ট লগ রিডার গ্রুপে যোগ করা

সার্ভার ম্যানেজার > টুলস > অ্যাক্টিভ ডিরেক্টরি ব্যবহারকারীরা এবং কম্পিউটার > <ডোমেইন নাম >নির্মিত এ যান, ইভেন্ট লগ রিডারস গ্রুপে ডান-ক্লিক করুন এবং প্রোপার্টিজ ক্লিক করুন। যখন উইন্ডোটি খোলে, সদস্য ট্যাবে যান এবং নেটওয়ার্ক সেবা অ্যাকাউন্ট যোগ করুন এবং অনুমোদন করুন ক্লিক করুন।

কমান্ড লাইন খুলুন এবং gpupdate /force কমান্ডটি চালু করে GPO আপডেট করুন। এই গ্রুপের পরিবর্তনগুলি প্রয়োগ করতে WinRM পুনরায় শুরু করা প্রয়োজন।

ইভেন্ট লগ ফরওয়ার্ডিং যাচাই করা হচ্ছে

আপনি যখন কালেক্টর এবং ফরওয়ার্ডার কনফিগারেশন সম্পন্ন করবেন, কালেক্টর সার্ভারে যান এবং ইভেন্ট ভিউয়ার খুলুন এবং উইন্ডোজ লগ > ফরওয়ার্ড ইভেন্টস এ নেভিগেট করুন। এই সেকশনে আপনি ইভেন্টগুলি দেখতে পারবেন কিনা নিশ্চিত করুন।