Como Configurar o Encaminhamento de Eventos do Windows para Consciência do Usuário

Visão Geral

A função de Consciência do Usuário da Cato Networks geralmente importa os eventos de log de Auditoria diretamente do Controlador de Domínio (DC). Esses eventos de log são mostrados na janela de Descoberta de Eventos no Aplicativo de Gerenciamento Cato. Algumas organizações preferem encaminhar esses eventos do DC (o encaminhador) para outro servidor Windows (o coletor) e configurar a Consciência do Usuário para importar os logs desse servidor.

O diagrama a seguir é um exemplo de Encaminhamento de Eventos do Windows (WEF) com 2 servidores: um servidor é o DC que atua como o encaminhador e o segundo servidor é o coletor. O coletor busca os eventos de segurança do encaminhador. O PoP da Cato importa esses eventos do coletor e os exibe no Aplicativo de Gerenciamento Cato.

Este artigo explica como configurar o WEF no servidor Windows.

Configurando o Encaminhamento de Log de Evento com Dois Servidores Windows

Pré-requisitos:

Duas instâncias de servidor Windows (2016 ou mais recente):

Encaminhador com diretório ativo
Coletor

Para configurar o encaminhamento do log de eventos:

Configurar o Coletor

Configurar o Encaminhador

Configurando o Coletor de Log de Eventos

Esta seção descreve como configurar a instância do servidor Windows como o coletor. O coletor é o servidor que busca os logs de eventos do servidor encaminhador (DC).

Habilitando o Gerenciamento Remoto do Windows (WinRM)

O Gerenciamento Remoto do Windows (WS-Management) é um serviço da Microsoft que permite encaminhar os eventos para o coletor. Este serviço está em execução automaticamente por padrão, se não, defina a configuração do serviço com status: Em execução e tipo de inicialização: Automaticamente.

Habilitando o Remoto do PowerShell

Abra o console do Windows PowerShell e execute o comando: Enable-PSRemoting para habilitar o serviço Remoto do PowerShell. Você pode verificar se o PSRemoting está habilitado executando o comando: Invoke-Command -ComputerName<COLLECTORHOSTNAME> -ScriptBlock {1}. Se você não receber um erro, então o serviço está em execução.

Iniciando o Serviço de Coletor de Inscrição

Para iniciar a inscrição:

Abra o Visualizador de Eventos e clique em Inscrição.
Uma janela pop-up aparece, clique em Sim para confirmar que o serviço será executado automaticamente.
Clique com o botão direito e selecione Criar Inscrição.
Adicione um Nome de Inscrição.
No log de Destino, selecione ForwardedEvents.
Em tipo de inscrição e computadores de origem, selecione Iniciado pelo coletor.
Clique em Selecionar Computadores e insira o Nome do Host do Encaminhador e clique em OK para aplicar. Se você tiver múltiplos DCs, adicione-os à lista.
Clique em Selecionar Eventos e verifique se o nível de Evento: Informação está selecionado.
Selecione Por logs e escolha os logs de Eventos de Segurança.
Para reduzir muitos eventos, recomendamos que você adicione os IDs de Evento que a Cato usa para a Consciência do Usuário: 4768,4769,4770,4624,5145,5140,4625,4647,4608

A captura de tela a seguir mostra um exemplo de uma janela de Propriedades de Inscrição:

Configurando o Arquivo de Log de Eventos Encaminhados

Para configurar o arquivo de eventos encaminhados para usar os eventos de segurança:

Abra o Visualizador de Eventos e navegue até Logs do Windows > ForwardedEvents
Clique com o botão direito em ForwardedEvents e clique em Propriedades
Altere o caminho do Log para o arquivo %..\Security.evtx e clique em OK

Configurando o Encaminhador (DC)

Esta seção descreve como configurar o DC como o encaminhador.

Permitindo Permissões de Leitura ao Log de Evento de Segurança

Abra o console do Windows PowerShell e execute o comando: wevtutilgl security. Este comando fornece informações sobre o log de evento de Segurança. Copie a string channelAccess.

Configurando o Gerenciamento de Política para o Encaminhador

Vá para Server Manger > Ferramentas > Gerenciamento de Política de Grupo > Domínios > Controlador de Domínios e clique em Controladores de Domínio Padrão Política. Clique com o botão direito e clique em Editar, quando a janela de Política de Controladores de Domínio Padrão abrir, navegue para Configuração do Computador → Políticas → Modelos Administrativos → Componentes do Windows → Encaminhamento de Eventos → Configurar gerente de Inscrição Administrador e Defina o valor para o gerente de inscrição de destino: Servidor=http://<FQDN do coletor>:5985/wsman/Gerente de Inscrição/WEC, Atualizar=60

A captura de tela a seguir mostra um exemplo de um Gerente de Inscrição para o servidor “MyCollector”.

2. Navegue para Configuração do Computador → Políticas → Modelos Administrativos → Componentes do Windows → Serviço de Registro de Eventos → Segurança → Configurar acesso ao log selecione Ativado e cole a string channelAccess da seção acima no painel de Acesso ao Log.

A captura de tela a seguir mostra um exemplo de configuração de acesso ao log com o valor channelAccess:

Adicionando o Serviço de Rede ao Grupo de Leitores de Registros de Eventos

Vá para Server Manger > Ferramentas > Usuários e Computadores do Active Directory > <Nome do Domínio >Imbutido, clique com o botão direito no grupo Leitores de Registros de Eventos e clique em Propriedades. quando a janela abrir, vá para a aba Membros e adicione a conta do Serviço de Rede e clique em OK.

Abra a linha de comando e execute o comando gpupdate /force para atualizar o GPO. Mudanças para este grupo requerem um reinício para o WinRM aplicar as mudanças.

Verificando o Encaminhamento de Registro de Eventos

Quando você completar a configuração do coletor e do encaminhador, vá para o servidor Coletor e abra o Visualizador de Eventos e navegue para Logs do Windows > Eventos encaminhados. Certifique-se de que você pode ver os eventos nesta seção.