Windows 이벤트 전달 구성하는 방법

개요

Cato Networks의 사용자 인식 기능은 일반적으로 도메인 컨트롤러(DC)에서 감사 로그 이벤트를 직접 가져옵니다. 이러한 로그 이벤트는 Cato 관리 애플리케이션의 탐색 창에 표시됩니다. 일부 조직에서는 이러한 이벤트를 도메인 컨트롤러(DC)에서 다른 Windows 서버(수집기)로 전달하고, 그 서버에서 로그를 가져오도록 사용자 인식을 구성하는 것을 선호합니다.

다음 다이어그램은 2대의 서버로 구성된 Windows 이벤트 전달(WEF)의 예입니다: 첫 번째 서버는 전달자 역할을 하는 도메인 컨트롤러(DC)이고, 두 번째 서버는 수집기입니다. 수집기는 전달자에서 보안 이벤트를 가져옵니다. Cato PoP는 이러한 이벤트를 수집기에서 가져와 Cato 관리 애플리케이션에 표시합니다.

blobid0.png

이 문서는 Windows 서버에서 WEF를 구성하는 방법을 설명합니다.

두 대의 Windows 서버로 이벤트 로그 전달 구성

필수 조건:

두 개의 Windows 서버(2016 이상) 인스턴스:

  • 활성 디렉터리와 함께하는 전달자

  • 수집기

이벤트 로그 전달을 구성하려면:

  • 수집기 구성

  • 전달자 구성

이벤트 로그 수집기 구성

이 섹션은 Windows 서버 인스턴스를 수집기로 구성하는 방법에 대해 설명합니다. 수집기는 전달자 서버(DC)에서 이벤트 로그를 가져오는 서버입니다.

Windows 원격 관리(WinRM) 활성화

Windows 원격 관리(WS-Management)는 이벤트를 수집기로 전달할 수 있는 Microsoft 서비스입니다. 이 서비스는 기본적으로 자동으로 실행됩니다. 그렇지 않은 경우 서비스 구성에서 상태: 실행 중 및 시작 유형: 자동으로 설정하십시오.

PowerShell 원격 보안 활성화

Windows PowerShell 콘솔을 열고 명령을 실행하여 PowerShell 원격 서비스를 활성화합니다: Enable-PSRemotingInvoke-Command -ComputerName<호스트명> -ScriptBlock {1} 명령을 실행하여 PSRemoting이 활성화되었는지 확인할 수 있습니다. 오류가 발생하지 않으면 서비스가 실행 중입니다.

구독 수집기 서비스 시작

구독 시작하려면:

  1. 이벤트 뷰어를 열고 구독을 클릭합니다

  2. 팝업 창이 나타나면 서비스를 자동으로 실행하도록 확인하려면 를 클릭하십시오.

  3. 오른쪽 클릭 후 구독 생성을 선택합니다

  4. 구독 이름을 추가합니다.

  5. 대상 로그에서 ForwardedEvents를 선택합니다

  6. 구독 유형 및 출처 컴퓨터 아래에서 수집기 시작을 선택합니다

  7. 컴퓨터 선택을 클릭하고 전달자 호스트명을 입력한 다음 확인을 클릭하여 적용합니다. 여러 도메인 컨트롤러가 있는 경우 목록에 추가합니다.

  8. 이벤트 선택을 클릭하고 이벤트 수준이 정보인지 확인합니다.

  9. 로그별로 선택 후 보안 이벤트 로그를 선택합니다.

  10. 많은 이벤트를 줄이려면, 사용자 인식을 위해 Cato가 사용하는 이벤트 ID: 4768,4769,4770,4624,5145,5140,4625,4647,4608을 추가할 것을 권장합니다

다음 스크린샷은 구독 ID 속성 창의 예시를 보여줍니다:

blobid1.png

전달된 이벤트 로그 파일 구성

보안 이벤트를 사용하도록 전달된 이벤트 파일을 구성하려면:

  1. 이벤트 뷰어를 열고 Windows 로그 > ForwardedEvents로 이동하십시오

  2. ForwardedEvents를 마우스 오른쪽 버튼으로 클릭하고 속성 클릭

  3. 로그 경로를 %..\보안.evtx 파일로 변경하고 확인을 클릭하십시오

blobid5.png

포워더(DC) 구성

이 섹션에서는 DC를 포워더로 구성하는 방법을 설명합니다.

보안 이벤트 로그에 대한 읽기 권한 허용

Windows PowerShell 콘솔을 열고 다음 명령을 실행하십시오: wevtutilgl 보안. 이 명령은 보안 이벤트 로그에 대한 정보를 제공합니다. channelAccess 문자열을 복사하십시오.

포워더를 위한 그룹 정책 관리 구성

  • 서버 관리자 > 도구 > 관리자 그룹 정책 > 도메인 > 도메인 컨트롤러들로 이동하여 기본 도메인 컨트롤러정책을 클릭하십시오. 마우스 오른쪽 버튼을 클릭하고 편집을 클릭하고, 기본 도메인 컨트롤러 정책 창이 열리면, 컴퓨터 구성 → 정책 → 관리 템플릿 → Windows 구성 요소 → 이벤트 전달 → 대상 구독 관리자 구성 설정하고, 대상 구독 관리자에 대한 값을 설정하십시오: 서버=http://<수집기의 FQDN>:5985/wsman/SubscriptionManager/WEC, 새로고침=60

다음 스크린샷은 "MyCollector" 서버의 구독 관리자 예시를 보여줍니다.

blobid3.jpg

2. 컴퓨터 구성 → 정책 → 관리 템플릿 → Windows 구성 요소 → 이벤트 로그 서비스 → 보안 → 로그 접근 구성으로 이동하여 활성화됨을 선택하고 로그 접근 창에 위 섹션에서 channelAccess 문자열을 붙여 넣습니다.

다음 스크린샷은 channelAccess 값을 사용한 로그 접근 구성의 예시를 보여줍니다:

blobid4.png

네트워크 서비스를 이벤트 로그 리더 그룹에 추가하기

서버 관리자 > 도구 > Active Directory 사용자 및 컴퓨터 > 도메인 이름>내부으로 이동하여 이벤트 로그 리더 그룹을 마우스 오른쪽 버튼으로 클릭한 후 속성을 클릭합니다. 창이 열리면, 멤버 탭으로 이동하여 네트워크 서비스 계정을 추가하고 확인을 클릭합니다.

명령줄을 열고 gpupdate /force 명령을 실행하여 GPO를 업데이트합니다. 이 그룹에 대한 변경 사항을 적용하려면 WinRM을 다시 시작해야 합니다.

이벤트 로그 포워딩 확인

수집기 및 전달자 구성을 완료하면 수집기 서버로 이동하여 Event Viewer를 열고 Windows 로그 > 전달된 이벤트로 이동합니다. 이 섹션에서 이벤트를 볼 수 있는지 확인하세요.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개