Как настроить пересылку событий Windows для осведомленности пользователя

Обзор

Функция Осведомленности Пользователя Cato Networks обычно импортирует события аудита непосредственно из Контроллера Домена (DC). Эти события журнала отображаются в окне Обнаружения Событий в Приложении Управления Cato. Некоторые организации предпочитают пересылать эти события из DC (пересылатель) на другой сервер Windows (сборщик) и настраивать Осведомленность Пользователя для импорта журналов с этого сервера.

Следующая схема является примером Пересылки Событий Windows (WEF) с 2 серверами: один сервер является DC, который выступает в роли пересылателя, а второй сервер - сборщик. Сборщик извлекает события безопасности из пересылателя. PoP Cato импортирует эти события из сборщика и отображает их в Приложении Управления Cato.

blobid0.png

В этой статье объясняется, как настроить WEF на сервере Windows.

Настройка пересылки журнала событий с двумя серверами Windows

Предварительные требования:

Два экземпляра сервера Windows (2016 или более поздняя версия):

  • Пересылатель с активным каталогом

  • Сборщик

Чтобы настроить пересылку журнала событий:

  • Настроить сборщик

  • Настроить пересылатель

Настройка Сборщика Журналов Событий

Этот раздел описывает, как настроить экземпляр сервера Windows в качестве сборщика. Сборщик - это сервер, который извлекает журналы событий с сервера пересылателя (DC).

Включение Удаленного Управления Windows (WinRM)

Удаленное Управление Windows (WS-Management) - это сервис Microsoft, который позволяет пересылать события к сборщику. Этот сервис автоматически запускается по умолчанию, если это не так, установите конфигурацию сервиса со статусом: Работает и тип запуска: Автоматически.

Включение PowerShell Remoting

Откройте консоль Windows PowerShell и выполните команду: Enable-PSRemoting, чтобы включить сервис удаленного доступа PowerShell. Вы можете проверить, что PSRemoting включен, выполнив команду: Invoke-Command -ComputerName<COLLECTORHOSTNAME> -ScriptBlock {1}. Если вы не получили ошибку, то сервис работает.

Запуск сервиса Сборщика Подписок

Чтобы начать подписку:

  1. Откройте Просмотр Событий и нажмите на Подписку.

  2. Появится всплывающее окно, нажмите Да, чтобы подтвердить автоматический запуск сервиса.

  3. Щелкните правой кнопкой мыши и выберите Создать Подписку.

  4. Добавьте имя Подписки.

  5. В журнале назначения выберите ПересланныеСобытия.

  6. В разделе Тип Подписки и исходные компьютеры выберите Инициировано сборщиком.

  7. Нажмите Выбрать Компьютеры и введите имя хоста пересылателя, затем нажмите ОК, чтобы применить. Если у вас несколько DC, добавьте их в список.

  8. Нажмите на Выбрать События и убедитесь, что уровень События: Информация выбран.

  9. Выберите По журналам и выберите Журналы Событий Безопасности.

  10. Чтобы уменьшить число событий, мы рекомендуем добавить идентификаторы событий, которые Cato использует для Осведомленности Пользователя: 4768,4769,4770,4624,5145,5140,4625,4647,4608

На следующий скриншот показывается пример окна Свойства Подписки:

blobid1.png

Настройка Файла Журнала Пересланных Событий

Чтобы настроить файл пересланных событий для использования событий безопасности:

  1. Откройте Просмотр Событий и перейдите в Журналы Windows > ПересланныеСобытия

  2. Щелкните правой кнопкой мыши на ПересланныеСобытия и выберите Свойства

  3. Изменить путь к журналу на %..\Security.evtx файл и нажмите ОК

blobid5.png

Настройка пересылателя (DC)

Этот раздел описывает, как настроить DC как пересылатель.

Предоставление разрешений на чтение для журнала событий безопасности

Откройте консоль Windows PowerShell и выполните команду: wevtutilgl security. Эта команда предоставляет информацию о журнале событий безопасности. Скопируйте строку channelAccess.

Настройка управления групповой политикой для пересылателя

  • Перейдите в Менеджер сервера > Инструменты > Управление групповой политикой > Домены > Контроллеры домена и нажмите на Политика контроллера домена по умолчанию. Щелкните правой кнопкой мыши и нажмите Редактировать, когда откроется окно Политика контроллеров домена по умолчанию, перейдите в Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Пересылка событий → Настроить цель подписка менеджера и установите значение для целевого подписка менеджера: Сервер=http://<Полное доменное имя>:5985/wsman/SubscriptionManager/Обновить=60

На следующем скриншоте показан пример подписка менеджера для сервера “MyCollector”.

blobid3.jpg

2. Перейдите в Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Служба журналов событий → Безопасность → Настроить доступ к журналу, выберите Включено и вставьте строку channelAccess из раздела выше в панель доступа к журналу.

На следующем скриншоте показан пример настройки доступа к журналу со значением channelAccess:

blobid4.png

Добавление сетевой службы в группу читателей журналов событий

Перейдите в Менеджер сервера > Инструменты > Пользователи и компьютеры Active Directory > <Имя домена >Встроенные, щелкните правой кнопкой мыши на группу Читатели журналов событий и выберите Свойства. когда окно откроется, перейдите на вкладку Участники и добавьте аккаунт сети и нажмите ОК.

Откройте командную строку и выполните команду gpupdate /force для обновления GPO. Изменения в этой группе требуют перезапуска, чтобы WinRM применил изменения.

Проверка пересылки журнала событий

Когда вы завершите конфигурацию сборщика и пересылателя, перейдите на сервер Сборщика и откройте Просмотр событий и перейдите к Windows Logs > Forwarded Events. Убедитесь, что вы можете видеть события в этом разделе.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев