Cato Networks 的用户意识功能通常直接从域控制器 (DC) 导入审计日志事件。 这些日志事件显示在 Cato 管理应用程序的信息搜集窗口中。 一些组织喜欢将这些事件从 DC (转发器) 转发到另一个 Windows 服务器 (收集器),并配置用户意识从该服务器导入日志。
下图是一个包含 2 台服务器的 Windows 事件转发 (WEF) 示例:其中一台服务器是作为转发器的 DC,另一台服务器是收集器。 收集器从转发器提取安全事件。 Cato PoP 从收集器导入这些事件,并在 Cato 管理应用程序中显示。
本文解释了如何在 Windows 服务器上配置 WEF。
先决条件:
两台 Windows Server (2016 或更新版本) 实例:
-
具有活动目录的转发器
-
收集器
要配置事件日志转发:
-
配置收集器
-
配置转发器
本部分描述如何将 Windows 服务器实例配置为收集器。 收集器是从转发器服务器 (DC) 提取事件日志的服务器。
Windows 远程管理 (WS-Management) 是一个 Microsoft 服务,允许将事件转发给收集器。 此服务默认自动运行,如果不是,请设置服务配置为状态:运行中和启动类型:自动。
打开 Windows PowerShell 控制台并运行命令:Enable-PSRemoting以启用 PowerShell 远程服务。 您可以通过运行命令来验证 PSRemoting 是否已启用:Invoke-Command -ComputerName<COLLECTORHOSTNAME> -ScriptBlock {1}。 如果没有收到错误消息,则该服务正在运行。
要开始订阅:
-
打开事件查看者,然后点击 订阅。
-
出现弹出窗口,单击 是 确认服务自动运行。
-
右键点击选择 创建订阅。
-
添加订阅名称。
-
在目标日志中,选择 转发的事件。
-
在订阅类型和来源计算机下,选择 收集器发起。
-
点击选择计算机并输入转发器主机名,然后点击确定以应用。 如果您有多个 DC,请将它们添加到列表中。
-
点击 选择事件 并验证事件级别:信息已选择。
-
选择按日志并选择安全事件日志。
-
为了减少众多事件,我们建议您添加 Cato 用于用户意识的事件 ID:4768,4769,4770,4624,5145,5140,4625,4647,4608。
以下截图展示了一个订阅属性窗口的示例:
本节描述如何将 DC 配置为转发器。
打开 Windows PowerShell 控制台并运行命令:wevtutilgl security。 此命令提供有关安全事件日志的信息。 复制 channelAccess 字符串。
-
转到 服务器管理器 > 工具 > 组策略管理 > 域名 > 域控制器们 并点击 默认域控制器策略。 右键单击并点击编辑,打开默认域控制器策略窗口时,导航到 计算机配置 → 策略 → 管理模板 → Windows 组件 → 事件转发 → 配置目标 订阅 管理器 和 设置目标订阅管理器的值: 服务器=http://<收集器的完全限定域名>:5985/wsman/SubscriptionManager/WEC,刷新=60
下图显示了“我的收集器”服务器的订阅管理器示例。
2. 导航到 计算机配置 → 策略 → 管理模板 → Windows 组件 → 事件日志服务 → 安全性 → 配置日志访问,选择 已启用 并在日志访问面板中粘贴来自 上面的部分 的 channelAccess 字符串。
下图显示了具有 channelAccess 值的日志访问配置示例:
0 条评论
请登录写评论。