ユーザーアウェアネスのためにWindowsイベント転送を設定する方法

概要

Cato NetworksのUser Awareness機能は通常、ドメインコントローラ(DC)から直接監査ログイベントをインポートします。 これらのログイベントは、Cato管理画面のイベント探索ウィンドウに表示されます。 一部の組織では、これらのイベントをDC(フォワーダ)から別のWindowsサーバー(コレクタ)に転送し、そのサーバーからログをインポートするようにユーザーアウェアネスを設定することを好みます。

次の図は、2つのサーバーを使用したWindowsイベント転送(WEF)のサンプルです。1つのサーバーはフォワーダーとして機能するDCであり、もう1つのサーバーはコレクターです。 コレクタはフォワーダからセキュリティイベントを取得します。 Cato PoPはこれらのイベントをコレクタからインポートし、Cato管理画面に表示します。

blobid0.png

この記事では、WindowsサーバーでのWEFの設定方法について説明します。

2つのWindowsサーバー間でのイベントログ転送の設定

前提条件:

2つのWindowsサーバー(2016以降)のインスタンス:

  • アクティブディレクトリを備えたフォワーダ

  • コレクタ

イベントログ転送を設定するには:

  • コレクタを設定する

  • フォワーダを設定する

イベントログコレクタの設定

このセクションでは、Windowsサーバーインスタンスをコレクタとして設定する方法について説明します。 コレクタはフォワーダサーバー(DC)からイベントログを取得するサーバーです。

Windowsリモート管理(WinRM)の有効化

Windowsリモート管理(WS-Management)は、イベントをコレクタに転送するためのMicrosoftサービスです。 このサービスはデフォルトで自動的に実行されます。そうでない場合は、状態を「実行中」、起動種類を「自動」に設定してください。

PowerShellリモートサービスの有効化

Windows PowerShellコンソールを開き、コマンドを実行してPowerShellリモートサービスを有効化します: Enable-PSRemoting。 次のコマンドを実行することでPSRemotingが有効化されていることを確認できます: Invoke-Command -ComputerName<COLLECTORHOSTNAME> -ScriptBlock {1}。 エラーが表示されない場合、サービスは実行中です。

サブスクリプションコレクタサービスの開始

サブスクリプションを開始するには:

  1. イベントビューアーを開き、サブスクリプション.をクリックします

  2. ポップアップウィンドウが表示され、はいをクリックしてサービスが自動的に実行されることを確認します。

  3. 右クリックしてサブスクリプション作成.を選択します

  4. サブスクリプション名を追加します。

  5. 宛先ログで、ForwardedEvents.を選択します

  6. サブスクリプションの種類と送信元コンピューターの下で、コレクターが開始.を選択します

  7. コンピューターを選択してフォワーダーホスト名を入力し、適用するにはOKをクリックします。 複数のDCがある場合は、それらをリストに追加します。

  8. イベントを選択をクリックして、イベントレベル:情報が選択されていることを確認します。

  9. ログ別に選択し、セキュリティイベントログを選択します。

  10. 多くのイベントを減らすために、ユーザーアウェアネスのためにCatoが使用するイベントID:4768,4769,4770,4624,5145,5140,4625,4647,4608を追加することをお勧めします

次のスクリーンショットはサブスクリプションプロパティウィンドウの例を示しています:

blobid1.png

転送されたイベントログファイルを設定する

転送されたイベントファイルをセキュリティイベントを使用するように設定するには次の手順に従います:

  1. イベントビューアーを開き、Windowsログ > ForwardedEventsに移動します

  2. ForwardedEventsを右クリックしてプロパティをクリックします

  3. ログパスを%..\Security.evtxファイルに変更し、OKをクリックします

blobid5.png

フォワーダー (DC) の設定

このセクションでは、DCをフォワーダーとして構成する方法について説明します。

セキュリティイベントログへの読み取り許可を許可する

Windows PowerShellコンソールを開き、次のコマンドを実行します:wevtutilgl security。 このコマンドは、セキュリティイベントログに関する情報を提供します。 channelAccess文字列をコピーします。

フォワーダーのグループポリシー管理を構成する

  • サーバーマネージャー > ツール > グループ ポリシー管理 > ドメイン > ドメインコントローラーs に移動し、デフォルト ドメイン コントローラーs ポリシー をクリックします。 右クリックし、編集をクリックします。「デフォルトドメインコントローラーポリシー」ウィンドウが開いたら、コンピューター設定 → ポリシー → 管理用テンプレート → Windowsコンポーネント → イベント転送 → サブスクリプションマネージャーを設定 の値を次のように設定します。サーバー=http://<FQDN の完全修飾ドメイン名>:5985/wsman/SubscriptionManager/WEC,更新=60.

次のスクリーンショットは、「MyCollector」サーバー用のサブスクリプション マネージャーの例を示しています。

blobid3.jpg

2. コンピューター構成→ポリシー→管理用テンプレート→Windows コンポーネント→イベント ログ サービス→セキュリティ→ログ アクセスの設定 に移動し、有効 を選択して、上記のセクションから channelAccess 文字列をログアクセス ペインに貼り付けます。

以下のスクリーンショットは、channelAccess 値を用いたログアクセス設定の例を示しています:

blobid4.png

ネットワークサービスをイベントログリーダー グループに追加する

サーバー管理者 > ツール > Active Directory ユーザーとコンピューター > ドメイン名>組み込み に進み、イベント ログ リーダー グループを右クリックしてプロパティをクリックします。 ウィンドウが開いたら、メンバー タブに移動してネットワーク サービス アカウントを追加し、[OK] をクリックします。

コマンドラインを開き、gpupdate /force コマンドを実行して GPO を更新します。 このグループへの変更には、WinRM が変更を適用するために再起動が必要です。

イベントログ転送の確認

コレクターとフォワーダーの構成を完了したら、コレクターサーバーに移動してイベントビューアーを開き、Windows ログ > 転送されたイベント に移動します。 このセクションでイベントが確認できることを確認してください。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント