Windows Event Collector

You can subscribe to receive and store events on a local computer (event collector) that are forwarded from a remote computer (event source). The Windows Event Collector functions support subscribing to events by using the WS-Management protocol. For more information about WS-Management, see About Windows Remote Management.

Event Forwarding and Event Collection Architecture

Event collection allows administrators to get events from remote computers and store them in a local event log on the collector computer. The destination log path for the events is a property of the subscription. All data in the forwarded event is saved in the collector computer event log (none of the information is lost). Additional information related to the event forwarding is also added to the event. For more information about how to enable a computer to receive collected events or forward events, see Configure Computers to Forward and Collect Events.

Subscriptions

The following list describes the types of event subscriptions:

• Source-initiated subscriptions: allows you to define an event subscription on an event collector computer without defining the event source computers. Multiple remote event source computers can then be set up (using a group policy setting) to forward events to the event collector computer. For more information, see Setting up a Source Initiated Subscription. This subscription type is useful when you do not know or you do not want to specify all the event sources computers that will forward events.
• Collector-initiated subscriptions: allows you to create an event subscription if you know all the event source computers that will forward events. You specify all the event sources at the time the subscription is created. For more information, see Creating a Collector Initiated Subscription.

Windows Event Collector Functions

For more information and code examples that use the Event Collector functions, see Using Windows Event Collector.

For more information about the functions used to collect and forward events, see Windows Event Collector functions.

Events are not forwarded if the collector is running Windows Server

This article helps fix an issue that occurs when you use source-initiated event forwarding to send events to a Microsoft Windows Server event collector.

Original product version: В Windows Server 2019, Windows Server 2016
Original KB number: В 4494462

Symptoms

You configure a Windows Server 2019 or Windows Server 2016 computer as an event collector. You also configure a source-initiated subscription (and related Group Policy Objects) for event forwarding. However, the events are not forwarded and the event source computers log event messages that resemble the following:

Log Name: Microsoft-Windows-Forwarding/Operational
Event ID: 105
Task Category: None
User: NETWORK SERVICE
Description:
The forwarder is having a problem communicating with subscription manager at address http://W19SRV.contoso.com:5985/wsman/SubscriptionManager/WEC . Error code is 2150859027 and Error Message is The WinRM client sent a request to an HTTP server and got a response saying the requested HTTP URL was not available. This is usually returned by a HTTP server that does not support the WS-Management protocol. .

Cause

This behavior is caused by the permissions that are configured for the following URLs:

On the event collector computer, both the Windows Event Collector service (WecSvc) and the Windows Remote Management service (WinRM) use these URLs. However, the default access control lists (ACLs) for these URLs allow access for only the svchost process that runs WinRM. In the default configuration of Windows Server 2016, a single svchost process runs both WinRM and WecSvc. Because the process has access, both services function correctly. However, if you change the configuration so that the services run on separate host processes, WecSvc no longer has access and event forwarding no longer functions.

The services function differently in Windows Server 2019. If a Windows Server 2019 computer has more than 3.5 GB of RAM, separate svchost processes run WinRM and WecSvc. Because of this change, event forwarding may not function correctly in the default configuration. For more information about the service changes, see Changes to Service Host grouping in Windows 10.

Resolution

To view the URL permissions, open an elevated Command Prompt window and run the command netsh http show urlacl .

To fix the URL permissions, use the elevated Command Prompt window and run the following commands:

Using Windows Event Collector

This section lists the topics that explain the tasks that can be accomplished using the Windows Event Collector SDK. Code examples and explanations for all the tasks are included in each of the following topics.

In This Section

Provides information and a C++ code example for creating a collector-initiated subscription. A collector-initiated subscription enables you to receive events on a local computer (the event collector) that are forwarded from a remote computer (an event source).

Provides information and a C++ code example for creating a source-initiated subscription. A source-initiated subscription enables you to receive events on a local computer (the event collector) that are forwarded from a remote computer (an event source) without specifying the event sources in the subscription.

Provides information and a C++ code example for adding an event source (local computer or remote computer) to a collector-initiated subscription. A collector initiated subscription cannot start collecting events until an event source is added to the subscription.

Provides information about how to create an event subscription in order to receive hardware events from a computer that has a Baseboard Management Controller (BMC) installed.

Provides information and a C++ code example for deleting an Event Collector subscription from a local computer.

Provides information and a C++ code example for displaying the property values of an Event Collector subscription. Property values can provide useful information, such as the addresses of event sources, the status of the subscription and event sources, and information about how events are delivered.

Provides information and a C++ code example for displaying the run time status of events sources that are associated to an Event Collector subscription. This enables you to view error messages that can help solve problems, which prevent an event source from forwarding events.

Provides information and a C++ code example for listing the subscriptions that exist on a local computer. You can use the subscription names that are obtained with this example to delete a subscription, add an event source to a subscription, retrieve the properties of a subscription, or view the status of a subscription.

Provides information and a C++ code example for removing an event source from a collector-initiated subscription. You can remove an event source from a collector-initiated subscription without disabling the subscription.

Provides information and a C++ code example for retrying an Event Collector subscription when one or more event sources have failed. You can retry a single event source or you can retry the entire subscription.

Использование пересылки событий Windows для обнаружения атак Use Windows Event Forwarding to help with intrusion detection

Относится к: Applies to

• Windows 10. Windows 10
• Windows Server Windows Server

Узнайте о подходе к сбору событий от устройств в вашей организации. Learn about an approach to collect events from devices in your organization. В этой статье рассказывается о событиях при нормальной работе и при предполагаемом вторжении. This article talks about events in both normal operations and when an intrusion is suspected.

Переадресовка событий Windows (WEF) считывка любого журнала операционных или административных событий на устройстве в организации и переадресовывка событий, которые вы выбираете, на сервер сборщика событий Windows (WEC). Windows Event Forwarding (WEF) reads any operational or administrative event log on a device in your organization and forwards the events you choose to a Windows Event Collector (WEC) server.

Для этого на клиентские устройства изданы две разные подписки: подписка «Базовый» и «Подозрительный». To accomplish this, there are two different subscriptions published to client devices — the Baseline subscription and the suspect subscription. В базовой подписке регистрются все устройства в организации, а подписка Suspect включает только добавленные вами устройства. The Baseline subscription enrolls all devices in your organization, and a Suspect subscription only includes devices that have been added by you. Подписка Suspect собирает дополнительные события для создания контекста для системной активности и может быстро обновляться для размещения новых событий и/или сценариев при необходимости, не влияя на базовые операции. The Suspect subscription collects additional events to help build context for system activity and can quickly be updated to accommodate new events and/or scenarios as needed without impacting baseline operations.

Эта реализация помогает различать, где события в конечном счете хранятся. This implementation helps differentiate where events are ultimately stored. Базовые события можно отправлять на устройства с аналитическими возможностями в Интернете, такие как Security Event Manager (SEM), а также отправлять события в систему MapReduce, например HDInsight или Hadoop, для долгосрочного хранения и более глубокого анализа. Baseline events can be sent to devices with online analytical capability, such as Security Event Manager (SEM), while also sending events to a MapReduce system, such as HDInsight or Hadoop, for long-term storage and deeper analysis. События из подписки Suspect отправляются непосредственно в систему MapReduce из-за громкости и более низкого соотношения сигнала и шума, они в основном используются для проведения судебно-медицинского анализа. Events from the Suspect subscription are sent directly to a MapReduce system due to volume and lower signal/noise ratio, they are largely used for host forensic analysis.

Сила SEM заключается в том, что он может проверять, соотносить события и создавать оповещения для известных шаблонов и оповещать сотрудников службы безопасности на скорости машины. An SEM’s strength lies in being able to inspect, correlate events, and generate alerts for known patterns manner and alert security staff at machine speed.

Система MapReduce имеет больше времени хранения (годы по сравнению с месяцами для SEM), большую способность к регрессу (сотни терабайт в день), а также возможность выполнять более сложные операции на данных, таких как статистический и трендовый анализ, анализ кластерирования шаблонов или применение алгоритмов машинного обучения. A MapReduce system has a longer retention time (years versus months for an SEM), larger ingress ability (hundreds of terabytes per day), and the ability to perform more complex operations on the data like statistical and trend analysis, pattern clustering analysis, or apply Machine Learning algorithms.

Вот приблизительное руководство по масштабированием событий ВЭФ: Here’s an approximate scaling guide for WEF events:

Диапазон события/второй Events/second range	Хранилище данных Data store
0 — 5,000 0 — 5,000	SQL или SEM SQL or SEM
5,000 — 50,000 5,000 — 50,000	SEM SEM
50 000+ 50,000+	Hadoop/HDInsight/Data Lake Hadoop/HDInsight/Data Lake

Создание событий на устройстве должно быть включено отдельно или в рамках GPO для базовой реализации WEF, включая включение журналов отключенных событий и установку разрешений канала. Event generation on a device must be enabled either separately or as part of the GPO for the baseline WEF implementation, including enabling of disabled event logs and setting channel permissions. Дополнительные сведения см. в приложении C — параметры канала событий (включить и получить доступ к каналу). For more info, see Appendix C — Event channel settings (enable and channel access) methods. Это потому, что WEF — это пассивная система, касающаяся журнала событий. This is because WEF is a passive system regarding the event log. Он не может изменять размер файлов журнала событий, включить отключенные каналы событий, изменить разрешения каналов или изменить политику аудита безопасности. It cannot change the size of event log files, enable disabled event channels, change channel permissions, or adjust a security audit policy. WEF запрашивает только каналы событий для существующих событий. WEF only queries event channels for existing events. Кроме того, создание событий, уже происходящих на устройстве, позволяет более полному собранию событий, что позволяет полностью завершить историю системной активности. Additionally, having event generation already occurring on a device allows for more complete event collection building a complete history of system activity. В противном случае вы будете ограничены скоростью циклов обновления подписки на GPO и WEF, чтобы внести изменения в то, что создается на устройстве. Otherwise, you’ll be limited to the speed of GPO and WEF subscription refresh cycles to make changes to what is being generated on the device. На современных устройствах включение дополнительных каналов событий и расширение размера файлов журналов событий не привели к заметным различиям в производительности. On modern devices, enabling additional event channels and expanding the size of event log files has not resulted in noticeable performance differences.

Для минимально рекомендуемой политики аудита и параметров системы реестра ACL см. в приложении A — Минимальная рекомендуемая минимальная политика аудита и приложение B — Рекомендуемая политика системы реестра ACL. For the minimum recommended audit policy and registry system ACL settings, see Appendix A — Minimum recommended minimum audit policy and Appendix B — Recommended minimum registry system ACL policy.

Примечание: Это только минимальные значения, необходимые для того, чтобы соответствовать выбору подписки WEF. Note: These are only minimum values need to meet what the WEF subscription selects.

С точки зрения управления подпиской ВЭФ предоставленные запросы событий должны использоваться в двух отдельных подписках для удобства обслуживания; доступ к целевой подписке будет разрешен только машинам, которые отвечают определенным критериям, этот доступ определяется алгоритмом или направлением аналитиков. From a WEF subscription management perspective, the event queries provided should be used in two separate subscriptions for ease of maintenance; only machines meeting specific criteria would be allowed access to the targeted subscription, this access would be determined by an algorithm or an analysts’ direction. Все устройства должны иметь доступ к базовой подписке. All devices should have access to the Baseline subscription.

Это означает, что вы создайте две базовые подписки: This means you would create two base subscriptions:

• Базовая подписка на WEF. Baseline WEF subscription. События, собранные из всех хостов, включают некоторые события, определенные для ролей, которые будут излучаться только этими машинами. Events collected from all hosts, this includes some role-specific events, which will only be emitted by those machines.
• Адресная подписка на WEF.Targeted WEF subscription. События, собранные из ограниченного набора хостов из-за необычной активности и/или повышенной осведомленности для этих систем. Events collected from a limited set of hosts due to unusual activity and/or heightened awareness for those systems.

Каждый из них использует соответствующий запрос события ниже. Each using the respective event query below. Обратите внимание, что для целевой подписки, позволяющей использовать параметр «чтение существующих событий», следует установить, чтобы разрешить сбор существующих событий из систем. Note that for the Targeted subscription enabling the “read existing events” option should be set to true to allow collection of existing events from systems. По умолчанию подписки weF будут перенадвигать события, созданные после того, как клиент получил подписку на WEF. By default, WEF subscriptions will only forward events generated after the WEF subscription was received by the client.

В приложении E — Аннотированный базовый запрос событий подписки и приложение F —аннотированный запрос событий подозрительных событий подписки, XML-запрос событий включается при создании подписки на WEF. In Appendix E – Annotated Baseline Subscription Event Query and Appendix F – Annotated Suspect Subscription Event Query, the event query XML is included when creating WEF subscriptions. Они аннотированы для целей запроса и ясности. These are annotated for query purpose and clarity. Отдельный элемент Запроса можно удалить или изменить, не затрагивая остальную часть запроса. Individual element can be removed or edited without affecting the rest of the query.

Общие вопросы ВЭФ Common WEF questions

В этом разделе будут рассматриваться распространенные вопросы от ИТ-специалистов и клиентов. This section addresses common questions from IT pros and customers.

Будет ли пользователь замечать, включена ли их машина для WEF или если ВЭФ столкнулся с ошибкой? Will the user notice if their machine is enabled for WEF or if WEF encounters an error?

Краткий ответ: Нет. The short answer is: No.

Более длинний ответ: Канал событий-forwardingPlugin/Operational регистрит события успеха, предупреждения и ошибки, связанные с подписками WEF, присутствующими на устройстве. The longer answer is: The Eventlog-forwardingPlugin/Operational event channel logs the success, warning, and error events related to WEF subscriptions present on the device. Если пользователь не откроет viewer событий и не переходит на этот канал, он не заметит ВЭФ ни с помощью потребления ресурсов, ни всплывающих всплывающих элементов графического пользовательского интерфейса. Unless the user opens Event Viewer and navigates to that channel, they will not notice WEF either through resource consumption or Graphical User Interface pop-ups. Даже если существует проблема с подпиской на ВЭФ, взаимодействие с пользователями или ухудшение производительности не происходит. Even if there is an issue with the WEF subscription, there is no user interaction or performance degradation. Все события успеха, предупреждения и сбоя регистрируются в этом канале оперативных событий. All success, warning, and failure events are logged to this operational event channel.

Является ли WEF push или pull? Is WEF Push or Pull?

Подписка на WEF может быть настроена для нажатия или тяги, но не для обоих. A WEF subscription can be configured to be push or pull, but not both. Простейшее и гибкое развертывание ИТ с максимальной масштабируемостью может быть достигнуто с помощью push или инициированной подписки с исходным кодом. The simplest, most flexible IT deployment with the greatest scalability can be achieved by using a push, or source initiated, subscription. Клиенты ВЭФ настраиваются с помощью GPO, и активируется встроенный клиент-переададатор. WEF clients are configured by using a GPO and the built-in forwarding client is activated. Для тяги, инициированной сборщиком, подписка на сервере WEC предварительно настроена с именами устройств клиента WEF, из которых должны быть выбраны события. For pull, collector initiated, the subscription on the WEC server is pre-configured with the names of the WEF Client devices from which events are to be selected. Эти клиенты также должны быть настроены заранее, чтобы разрешить учетным данным, используемым в подписке, удаленно **** получать доступ к журналам событий (как правило, путем добавления учетных данных в встроенную локализованную группу безопасности журнала событий.) Полезный сценарий: внимательно следить за определенным набором машин. Those clients also have to be configured ahead of time to allow the credentials used in the subscription to access their event logs remotely (normally by adding the credential to the Event Log Readers built-in local security group.) A useful scenario: closely monitoring a specific set of machines.

Будет ли ВЭФ работать над VPN или RAS? Will WEF work over VPN or RAS?

WEF хорошо обрабатывает сценарии VPN, RAS и DirectAccess, а также повторное подключение и отправка накопленного отставания событий при восстановлении подключения к коллектору ВЭФ. WEF handles VPN, RAS, and DirectAccess scenarios well and will reconnect and send any accumulated backlog of events when the connection to the WEF Collector is re-established.

Как отслеживается прогресс клиента? How is client progress tracked?

Сервер WEC сохраняет в своем реестре сведения о закладки и время последнего сердцебиения для каждого источника событий для каждой подписки на WEF. The WEC server maintains in its registry the bookmark information and last heartbeat time for each event source for each WEF subscription. Когда источник событий повторно подключается к серверу WEC, последняя позиция закладки отправляется на устройство для использования в качестве отправной точки для возобновления событий переададки. When an event source re-connects to a WEC server, the last bookmark position is sent to the device to use as a starting point to resume forwarding events. Если у клиента ВЭФ нет событий для отправки, клиент ВЭФ будет периодически подключаться, чтобы отправить на сервер WEC пульс, чтобы указать, что он активен. If a WEF client has no events to send, the WEF client will connect periodically to send a Heartbeat to the WEC server to indicate it is active. Это значение можно настроить индивидуально для каждой подписки. This heartbeat value can be individually configured for each subscription.

Будет ли WEF работать в среде IPv4, IPv6 или смешанной среде IPv4/IPv6? Will WEF work in an IPv4, IPv6, or mixed IPv4/IPv6 environment?

Да. Yes. WEF является агностиком транспорта и будет работать над IPv4 или IPv6. WEF is transport agnostic and will work over IPv4 or IPv6.

Зашифрованы ли события ВЭФ? Are WEF events encrypted? Я вижу параметр HTTP/HTTPS! I see an HTTP/HTTPS option!

В параметре домена подключение, используемого для передачи событий ВЭФ, шифруется с помощью Kerberos по умолчанию (с NTLM в качестве параметра отката, который можно отключить с помощью GPO). In a domain setting, the connection used to transmit WEF events is encrypted using Kerberos, by default (with NTLM as a fallback option, which can be disabled by using a GPO). Только сборщик weF может расшифровать подключение. Only the WEF collector can decrypt the connection. Кроме того, связь между клиентом WEF и сервером WEC взаимно проверки подлинности независимо от типа проверки подлинности (Kerberos или NTLM.) Существуют параметры GPO, которые заставляют проверку подлинности использовать только Kerberos. Additionally, the connection between WEF client and WEC server is mutually authenticated regardless of authentication type (Kerberos or NTLM.) There are GPO options to force Authentication to use Kerberos Only.

Эта проверка подлинности и шифрование выполняются независимо от выбора HTTP или HTTPS. This authentication and encryption is performed regardless if HTTP or HTTPS is selected.

Параметр HTTPS доступен, если используется проверка подлинности на основе сертификата, в случаях, когда взаимная проверка подлинности на основе Kerberos не является вариантом. The HTTPS option is available if certificate based authentication is used, in cases where the Kerberos based mutual authentication is not an option. Сертификат SSL и предварительные клиентские сертификаты используются для обеспечения взаимной проверки подлинности. The SSL certificate and provisioned client certificates are used to provide mutual authentication.

Есть ли у клиентов ВЭФ отдельный буфер для событий? Do WEF Clients have a separate buffer for events?

Локальный журнал событий для клиентских машин ВЭФ является буфером для потери подключения к серверу WEC. The WEF client machines local event log is the buffer for WEF for when the connection to the WEC server is lost. Чтобы увеличить «размер буфера», необходимо увеличить максимальный размер файла конкретного файла журнала событий, в котором выбираются события. To increase the “buffer size”, increase the maximum file size of the specific event log file where events are being selected. Дополнительные сведения см. в приложении C — Параметры канала событий (включить и доступ к каналу)методы . For more info, see Appendix C – Event Channel Settings (enable and Channel Access) methods.

При переоценке журналом событий существующих событий (что приводит к потере данных, если устройство не подключено к сборщику событий), коллектору ВЭФ не отправляется уведомление о том, что события потеряны от клиента. When the event log overwrites existing events (resulting in data loss if the device is not connected to the Event Collector), there is no notification sent to the WEF collector that events are lost from the client. В потоке событий также не существует индикатора того, что в потоке событий был пробел. Neither is there an indicator that there was a gap encountered in the event stream.

Какой формат используется для переададных событий? What format is used for forwarded events?

WeF имеет два режима для переададации событий. WEF has two modes for forwarded events. По умолчанию это «Отрисовка текста», включаемая текстовое описание события, как вы увидите его в viewer событий. The default is “Rendered Text” which includes the textual description of the event as you would see it in Event Viewer. Это означает, что размер события фактически удваивается или утроивается в зависимости от размера отрисовки описания. This means that the event size is effectively doubled or tripled depending on the size of the rendered description. Альтернативный режим — это «События» (также иногда именуемая «Двоичный» формат) — это только событие XML, отправленное в двоичном формате XML (как это было бы написано в файл evtx).) Это очень компактно и может более чем в два раза увеличить объем событий, который может вместить один сервер WEC. The alternative mode is “Events” (also sometimes referred to as “Binary” format) – which is just the event XML itself sent in binary XML format (as it would be written to the evtx file.) This is very compact and can more than double the event volume a single WEC server can accommodate.

Подписка «testSubscription» может быть настроена для использования формата События через утилиту WECUTIL: A subscription “testSubscription” can be configured to use the Events format through the WECUTIL utility:

Как часто доставляются события ВЭФ? How frequently are WEF events delivered?

Параметры доставки событий являются частью параметров конфигурации подписки WEF. Существует три встроенных варианта доставки подписки: Normal, Minimize Bandwidth и Minimize Latency. Event delivery options are part of the WEF subscription configuration parameters – There are three built-in subscription delivery options: Normal, Minimize Bandwidth, and Minimize Latency. Четвертый, catch-all, называемый «Custom», доступен, но не может быть выбран или настроен с помощью пользовательского интерфейса WEF с помощью viewer событий. A fourth, catch-all called “Custom” is available but cannot be selected or configured through the WEF UI by using Event Viewer. Параметр Настраиваемой доставки должен быть выбран и настроен с WECUTIL.EXE командной строки приложения. The Custom delivery option must be selected and configured using the WECUTIL.EXE command-line application. Все параметры подписки определяют максимальное количество событий и максимальный возраст событий, если превышено либо ограничение, то накопленные события отправляются коллекционеру событий. All subscription options define a maximum event count and maximum event age, if either limit is exceeded then the accumulated events are sent to the event collector.

В этой таблице описаны встроенные варианты доставки: This table outlines the built-in delivery options:

Параметры оптимизации доставки событий Event delivery optimization options	Описание Description
Обычный Normal	Этот параметр обеспечивает надежную доставку событий и не пытается сохранить пропускную способность. This option ensures reliable delivery of events and does not attempt to conserve bandwidth. Это подходящий выбор, если вам не потребуется более жесткий контроль за использованием пропускной способности или необходимо как можно быстрее доставить переданные события. It is the appropriate choice unless you need tighter control over bandwidth usage or need forwarded events delivered as quickly as possible. Он использует режим доставки тяги, пакетирует по 5 элементов одновременно и задает пакетное время ожидания в 15 минут. It uses pull delivery mode, batches 5 items at a time and sets a batch timeout of 15 minutes.
Минимизация пропускной способности Minimize bandwidth	Этот параметр гарантирует, что использование пропускной способности сети для доставки событий строго контролируется. This option ensures that the use of network bandwidth for event delivery is strictly controlled. Это подходящий выбор, если вы хотите ограничить частоту сетевых подключений, сделанных для доставки событий. It is an appropriate choice if you want to limit the frequency of network connections made to deliver events. Он использует режим доставки push и задает пакетное время ожидания в 6 часов. It uses push delivery mode and sets a batch timeout of 6 hours. Кроме того, он использует интервал сердцебиения в 6 часов. In addition, it uses a heartbeat interval of 6 hours.
Минимизация задержки Minimize latency	Этот параметр гарантирует, что события доставляются с минимальной задержкой. This option ensures that events are delivered with minimal delay. Это подходящий выбор при сборе оповещений или критически важных событий. It is an appropriate choice if you are collecting alerts or critical events. Он использует режим доставки push и задает пакетное время ожидания в 30 секунд. It uses push delivery mode and sets a batch timeout of 30 seconds.

Дополнительные сведения о вариантах доставки см. в журнале Configure Advanced Subscription Settings. For more info about delivery options, see Configure Advanced Subscription Settings.

Основное различие заключается в задержке, которую события отправляют от клиента. The primary difference is in the latency which events are sent from the client. Если ни один из встроенных параметров не соответствует вашим требованиям, вы можете настроить настраиваемые параметры доставки событий для данной подписки из команды с повышенным запросом: If none of the built-in options meet your requirements you can set Custom event delivery options for a given subscription from an elevated command prompt:

Как управлять, какие устройства имеют доступ к подписке на WEF? How do I control which devices have access to a WEF Subscription?

Для исходных инициированных подписок: каждая подписка WEF на сервере WEC имеет свою собственную ACL для учетных записей машин или групп безопасности, содержащих учетные записи машин (а не учетные записи пользователей), которые явно разрешены для участия в этой подписке или явно не имеют доступа. For source initiated subscriptions: Each WEF subscription on a WEC server has its own ACL for machine accounts or security groups containing machine accounts (not user accounts) that are explicitly allowed to participate in that subscription or are explicitly denied access. Этот ACL применяется только к одной подписке weF (так как на данном сервере WEC может быть несколько подписок WEF), другие подписки WEF имеют свои собственные отдельные ACL. This ACL applies to only a single WEF subscription (since there can be multiple WEF subscriptions on a given WEC server), other WEF Subscriptions have their own separate ACL.

Для инициированных сборщиком подписок: подписка содержит список машин, с которых сервер WEC должен собирать события. For collector initiated subscriptions: The subscription contains the list of machines from which the WEC server is to collect events. Этот список управляется на сервере WEC, и учетные данные, используемые для подписки, должны иметь доступ к журналам событий чтения от клиентов WEF — учетные данные могут быть учетной записью компьютера или учетной записью домена. This list is managed at the WEC server, and the credentials used for the subscription must have access to read event logs from the WEF Clients – the credentials can be either the machine account or a domain account.

Может ли клиент общаться с несколькими коллекционерами событий WEF? Can a client communicate to multiple WEF Event Collectors?

Да. Yes. Если вы хотите High-Availability среды, просто настройте несколько серверов WEC с одной и той же конфигурацией подписки и опубликуй обоих URL-адресов WEC Server для клиентов ВЭФ. If you desire a High-Availability environment, simply configure multiple WEC servers with the same subscription configuration and publish both WEC Server URIs to WEF clients. Клиенты WEF будут одновременно переадверять события на настроенные подписки на серверах WEC, если у них есть соответствующий доступ. WEF Clients will forward events simultaneously to the configured subscriptions on the WEC servers, if they have the appropriate access.

Какие ограничения есть у сервера WEC? What are the WEC server’s limitations?

Существует три фактора, ограничивающих масштабируемость серверов WEC. There are three factors that limit the scalability of WEC servers. Общее правило для стабильного сервера WEC на товарном оборудовании планирует в среднем 3000 событий в секунду для всех настроенных подписок. The general rule for a stable WEC server on commodity hardware is planning for a total of 3,000 events per second on average for all configured subscriptions.

Диск I/O. Disk I/O. Сервер WEC не обрабатывает и не проверяет полученное событие, а буферит полученное событие, а затем записывает его в локальный файл журнала событий (ФАЙЛ EVTX). The WEC server does not process or validate the received event, but rather buffers the received event and then logs it to a local event log file (EVTX file). Скорость входа в файл EVTX ограничена скоростью записи диска. The speed of logging to the EVTX file is limited by the disk write speed. Изолирование файла EVTX в собственном массиве или использование высокоскоростных дисков может увеличить количество событий в секунду, которые может получить один сервер WEC. Isolating the EVTX file to its own array or using high speed disks can increase the number of events per second that a single WEC server can receive.

Сетевые подключения. Network Connections. Хотя источник WEF не поддерживает постоянное и постоянное подключение к серверу WEC, он не отключается сразу после отправки событий. While a WEF source does not maintain a permanent, persistent connection to the WEC server, it does not immediately disconnect after sending its events. Это означает, что количество источников ВЭФ, которые могут одновременно подключаться к серверу WEC, ограничено открытыми портами TCP, доступными на сервере WEC. This means that the number of WEF sources that can simultaneously connect to the WEC server is limited to the open TCP ports available on the WEC server.

Размер реестра. Registry size. Для каждого уникального устройства, подключаемого к подписке weF, имеется ключ реестра (соответствующий FQDN клиента ВЭФ), созданный для хранения сведений о закладки и источнике сердцебиения. For each unique device that connects to a WEF subscription, there is a registry key (corresponding to the FQDN of the WEF Client) created to store bookmark and source heartbeat information. Если это не обрезка для удаления неактивных клиентов, этот набор ключей реестра со временем может вырасти до неуправляемого размера. If this is not pruned to remove inactive clients this set of registry keys can grow to an unmanageable size over time.

• Если в течение срока службы подписки к ней подключаются > 1000 источников ВЭФ, которые также называются источниками ВЭФ в течение всего срока службы, то при выборе узла Подписки в левой навигации зритель событий может несколько минут не действовать, но после этого будет нормально функционировать. When a subscription has >1000 WEF sources connect to it over its operational lifetime, also known as lifetime WEF sources, Event Viewer can become unresponsive for a few minutes when selecting the Subscriptions node in the left-navigation, but will function normally afterwards.
• В 50 000 источников ВЭФ в течение всей жизни viewer событий больше не является вариантом, и wecutil.exe (включаемый в Windows) должен использоваться для настройки и управления > подписками. At >50,000 lifetime WEF sources, Event Viewer is no longer an option and wecutil.exe (included with Windows) must be used to configure and manage subscriptions.
• При 100 000 источниках ВЭФ реестр не будет читаемым, и сервер WEC, скорее всего, придется > перестроить. At >100,000 lifetime WEF sources, the registry will not be readable and the WEC server will likely have to be rebuilt.

Сведения о подписке Subscription information

Ниже перечислены все элементы, которые собирает каждая подписка, фактический XML подписки доступен в приложении. Below lists all of the items that each subscription collects, the actual subscription XML is available in an Appendix. Они разделены на базовые и целевые. These are separated out into Baseline and Targeted. Целью является подписка всех хостов на базовый уровень, а затем регистрация (и удаление) хостов на необходимой основе для целевой подписки. The intent is to subscribe all hosts to Baseline, and then enroll (and remove) hosts on an as needed basis to the Targeted subscription.

Базовая подписка Baseline subscription

Несмотря на то, что это самая большая подписка, она на самом деле является самым низким объемом для каждого устройства. While this appears to be the largest subscription, it really is the lowest volume on a per-device basis. (Исключения должны быть разрешены для необычных устройств — можно ожидать, что устройство, которое выполняет сложные задачи, связанные с разработчиком, создаст необычно высокий объем процессов создания и событий AppLocker.) Эта подписка не требует специальной конфигурации на клиентских устройствах, чтобы включить каналы событий или изменить разрешения канала. (Exceptions should be allowed for unusual devices – a device performing complex developer related tasks can be expected to create an unusually high volume of process create and AppLocker events.) This subscription does not require special configuration on client devices to enable event channels or modify channel permissions.

Подписка — это, по сути, набор заявлений запросов, применяемых к журналу событий. The subscription is essentially a collection of query statements applied to the Event Log. Это означает, что он является модульным по своему характеру, и заданное заявление запроса можно удалить или изменить, не влияя на другое утверждение запроса в подписке. This means that it is modular in nature and a given query statement can be removed or changed without impacting other query statement in the subscription. Кроме того, подавляются утверждения, отфильтровывающие определенные события, применяются только в этом заявлении запроса и не относятся к всей подписке. Additionally, suppress statements which filter out specific events, only apply within that query statement and are not to the entire subscription.

Базовые требования к подписке Baseline subscription requirements

Чтобы получить наибольшее значение из базовой подписки, рекомендуется установить на устройстве следующие требования, чтобы убедиться, что клиенты уже генерируют необходимые события, которые должны быть перенастроены из системы. To gain the most value out of the baseline subscription we recommend to have the following requirements set on the device to ensure that the clients are already generating the required events to be forwarded off the system.

Применить политику аудита безопасности, которая является супер-набором рекомендуемой политики минимального аудита. Apply a security audit policy that is a super-set of the recommended minimum audit policy. Дополнительные сведения см. в приложении A — минимально рекомендуемой минимальной политике аудита. For more info, see Appendix A – Minimum Recommended minimum Audit Policy. Это гарантирует, что журнал событий безопасности создает необходимые события. This ensures that the security event log is generating the required events.

Применить по крайней мере Audit-Only AppLocker к устройствам. Apply at least an Audit-Only AppLocker policy to devices.

• Если вы уже разрешаете или ограничиваете события с помощью AppLocker, то это требование будет выполнены. If you are already allowing or restricting events by using AppLocker, then this requirement is met.
• События AppLocker содержат чрезвычайно полезную информацию, например сведения о hash-файлах и цифровой подписи для исполняемых и скриптов. AppLocker events contain extremely useful information, such as file hash and digital signature information for executables and scripts.

Включить отключенные каналы событий и установить минимальный размер для современных файлов событий. Enable disabled event channels and set the minimum size for modern event files.

В настоящее время не существует шаблона GPO для включения или установки максимального размера для современных файлов событий. Currently, there is no GPO template for enabling or setting the maximum size for the modern event files. Это необходимо сделать с помощью GPO. This must be done by using a GPO. Дополнительные сведения см. в приложении C — Параметры канала событий (включить и доступ к каналу)методы . For more info, see Appendix C – Event Channel Settings (enable and Channel Access) methods.

Аннотированный запрос события можно найти в следующем. The annotated event query can be found in the following. Дополнительные сведения см. в приложении F — аннотированномзапросе событий подозрительных событий подписки. For more info, see Appendix F – Annotated Suspect Subscription Event Query.

События по борьбе с вредоносными программами из Microsoft Antimalware или Защитник Windows. Anti-malware events from Microsoft Antimalware or Windows Defender. Это может быть настроено для любого данного антивирусного продукта легко, если он пишет в журнал событий Windows. This can be configured for any given anti-malware product easily if it writes to the Windows event log.

Процесс создания событий журнала событий безопасности. Security event log Process Create events.

Процесс Создания событий AppLocker (EXE, скрипт, упакованная установка и выполнение приложения). AppLocker Process Create events (EXE, script, packaged App installation and execution).

События изменения реестра. Registry modification events. Дополнительные сведения см. в приложении B — рекомендуемойполитике ACL системы реестра. For more info, see Appendix B – Recommended minimum Registry System ACL Policy.

Запуск и отключение ОС OS startup and shutdown

• Событие запуска включает версию операционной системы, уровень пакетов обслуживания, версию QFE и режим загрузки. Startup event include operating system version, service pack level, QFE version, and boot mode.

Установка службы Service install

• Включает имя службы, путь изображения и устанавливаемую службу. Includes what the name of the service, the image path, and who installed the service.

События аудита Управления сертификатами Certificate Authority audit events

• Это применимо только к системам с установленной ролью Авторитет сертификата. This is only applicable on systems with the Certificate Authority role installed.
• Журналы запросов сертификатов и ответов. Logs certificate requests and responses.

События профилей пользователей User profile events

• Использование временного профиля или невозможность создания профиля пользователя может указывать на то, что злоумышленник в интерактивном режиме войдя в устройство, но не желая оставлять за собой постоянный профиль. Use of a temporary profile or unable to create a user profile may indicate an intruder is interactively logging into a device but not wanting to leave a persistent profile behind.

Сбой запуска службы Service start failure

• Коды отказов локализованы, поэтому необходимо проверить значение DLL сообщения. Failure codes are localized, so you have to check the message DLL for values.

События доступа к совместной сети Network share access events

• Фильтрация файлов IPC$ и /NetLogon, ожидаемых и шумных. Filter out IPC$ and /NetLogon file shares, which are expected and noisy.

Отключение системы инициировать запросы System shutdown initiate requests

• Узнайте, что инициировал перезапуск устройства. Find out what initiated the restart of a device.

Инициированное пользователем событие интерактивного входа User initiated interactive logoff event

Сеанс удаленной службы настольных компьютеров подключается, подключается или отключается. Remote Desktop Services session connect, reconnect, or disconnect.

События EMET, если установлена EMET. EMET events, if EMET is installed.

События переададки события плагина события Event forwarding plugin events

• Мониторинг операций подписки ВЭФ, в частности событий частичного успеха. For monitoring WEF subscription operations, particularly Partial Success events. Это полезно для диагностики проблем с развертыванием. This is useful for diagnosing deployment issues.

Создание и удаление сетевой совместной сети Network share create and delete

Включает обнаружение несанкционированного создания совместной работы. Enables detection of unauthorized share creation.

Примечание: Все акции повторно создаются при старте устройства. Note: All shares are re-created when the device starts.

Сеансы Logon Logon sessions

• Успех Logon для интерактивного (локального и удаленного интерактивного и удаленного рабочего стола) Logon success for interactive (local and Remote Interactive/Remote Desktop)
• Логон успеха для служб для не встроенных учетных записей, таких как LocalSystem, LocalNetwork и так далее. Logon success for services for non-built-in accounts, such as LocalSystem, LocalNetwork, and so on.
• Успех Logon для пакетных сеансов Logon success for batch sessions
• Сеанс Logon закрывается, это события входа для сеансов, не влиять на сеть. Logon session close, which are logoff events for non-network sessions.

Отчет об ошибках Windows (только события сбоя приложения) Windows Error Reporting (Application crash events only)

• Это может помочь обнаружить ранние признаки злоумышленника, не знакомого с корпоративной средой с помощью целевого вредоносного ПО. This can help detect early signs of intruder not familiar with enterprise environment using targeted malware.

События службы журнала событий Event log service events

• Ошибки, запуск событий и остановка событий для службы журнала событий Windows. Errors, start events, and stop events for the Windows Event Log service.

Журнал событий очищен (в том числе журнал событий безопасности) Event log cleared (including the Security Event Log)

• Это может указывать на злоумышленника, который прикрывает их следы. This could indicate an intruder that are covering their tracks.

Специальные привилегии, присвоенные новому логотипу Special privileges assigned to new logon

• Это означает, что на момент логотипа пользователь является администратором или имеет достаточный доступ, чтобы сделать себя администратором. This indicates that at the time of logon a user is either an Administrator or has the sufficient access to make themselves Administrator.

Исходящие попытки сеанса удаленных служб настольных компьютеров Outbound Remote Desktop Services session attempts

• Видимость в потенциальной пляжной области для злоумышленника Visibility into potential beachhead for intruder

Изменено время системы System time changed

Клиент SMB (на карте подключения к дискам) SMB Client (mapped drive connections)

Проверка учетных данных учетных записей Account credential validation

• Локальные учетные записи или учетные записи домена в контроллерах домена Local accounts or domain accounts on domain controllers

Пользователь был добавлен или удален из локальной группы безопасности Администраторы. A user was added or removed from the local Administrators security group.

Доступ к частному ключу API crypto Crypto API private key accessed

• Связано с подписанием объектов с помощью локально хранимых частных ключов. Associated with signing objects using the locally stored private key.

Создание и удаление задач планировщика задач Task Scheduler task creation and delete

• Планировщик задач позволяет злоумышленникам запускать код в указанное время как LocalSystem. Task Scheduler allows intruders to run code at specified times as LocalSystem.

Logon с явными учетными данными Logon with explicit credentials

• Обнаружение изменений использования учетных данных злоумышленниками для доступа к дополнительным ресурсам. Detect credential use changes by intruders to access additional resources.

События проверки держателей смарт-карт Smartcard card holder verification events

• Это определяет, когда используется смарт-карта. This detects when a smartcard is being used.

Подозрительный абонемент Suspect subscription

Это добавляет некоторые возможные действия, связанные с злоумышленниками, чтобы помочь аналитику дополнительно уточнить свои определения о состоянии устройства. This adds some possible intruder-related activity to help analyst further refine their determinations about the state of the device.

Создание сеанса Logon для сетевых сеансов Logon session creation for network sessions

• Включает анализ сетевых графиков по сериям времени. Enables time-series analysis of network graphs.

События RADIUS и VPN RADIUS and VPN events

• Полезно, если вы используете реализацию Microsoft IAS RADIUS/VPN. Useful if you use a Microsoft IAS RADIUS/VPN implementation. В нем показано назначение ip-адресов пользователя с удаленным > IP-адресом, подключенным к предприятию. It shows user-> IP address assignment with remote IP address connecting to the enterprise.

События объектов и цепочки сборки Crypto API X509 Crypto API X509 object and build chain events

• Обнаружение известных плохих сертификатов, ca или sub-CA Detects known bad certificate, CA, or sub-CA
• Обнаружение необычного использования CAPI процесса Detects unusual process use of CAPI

Группы, присвоенные локальному логотипу Groups assigned to local logon

• Обеспечивает видимость для групп, которые обеспечивают широкий доступ к учетной записи Gives visibility to groups which enable account wide access
• Позволяет лучше планировать усилия по исправлению последствий Allows better planning for remediation efforts
• Исключает хорошо известные встроенные учетные записи системы. Excludes well known, built-in system accounts.

Выход сеанса Logon Logon session exit

• Специфические для сеансов сетевого логотипа. Specific for network logon sessions.

События клиентского DNS-смотра Client DNS lookup events

• Возвращает, какой процесс выполнял запрос DNS, и результаты, возвращенные с сервера DNS. Returns what process performed a DNS query and the results returned from the DNS server.

Выход из процесса Process exit

• Включает проверку неожиданно завершающихся процессов. Enables checking for processes terminating unexpectedly.

Локализованная проверка учетных данных или логотип с явными учетными данными Local credential validation or logon with explicit credentials

• Создается, когда локальный SAM является авторитетным для проверки подлинности учетных данных учетных записей. Generated when the local SAM is authoritative for the account credentials being authenticated.
• Шум на контроллерах домена Noisy on domain controllers
• На клиентских устройствах это создается только при входе в локальные учетные записи. On client devices this is only generated when local accounts log on.

События аудита изменений реестра Registry modification audit events

• Только в том случае, если создается, изменено или удаляется значение реестра. Only when a registry value is being created, modified, or deleted.

Беспроводная проверка подлинности 802.1x Wireless 802.1x authentication

• Обнаружение беспроводного подключения с одноранговым mac-адресом Detect wireless connection with a peer MAC address

Windows PowerShell ведения журнала Windows PowerShell logging

• Охватывает Windows PowerShell 2.0 и более поздний период и включает улучшения Windows PowerShell 5.0 для атак в памяти с помощью Windows PowerShell. Covers Windows PowerShell 2.0 and later and includes the Windows PowerShell 5.0 logging improvements for in-memory attacks using Windows PowerShell.
• Включает Windows PowerShell ведение журнала Includes Windows PowerShell remoting logging

Событие Драйвера режима пользователя «Загруженный драйвер» User Mode Driver Framework “Driver Loaded” event

• Возможно, можно обнаружить USB-устройство, загружающее несколько драйверов устройства. Can possibly detect a USB device loading multiple device drivers. Например, USB_STOR, загружающее клавиатуру или сетевой драйвер. For example, a USB_STOR device loading the keyboard or network driver.

Приложение A — минимальная рекомендуемая минимальная политика аудита Appendix A — Minimum recommended minimum audit policy

Если политика аудита организации позволяет проводить дополнительный аудит для удовлетворения ее потребностей, это нормально. If your organizational audit policy enables additional auditing to meet its needs, that is fine. Ниже приведена политика минимальных параметров политики аудита, необходимых для того, чтобы включить события, собираемые как базовой, так и целевой подпиской. The policy below is the minimum audit policy settings needed to enable events collected by both baseline and targeted subscriptions.

Категория Category	Подкатегория Subcategory	Параметры аудита Audit settings
Логон учетной записи Account Logon	Проверка учетных данных Credential Validation	Успех и неудача Success and Failure
Управление учетными записями Account Management	Управление группой безопасности Security Group Management	Успешно Success
Управление учетными записями Account Management	Управление учетными записями пользователей User Account Management	Успех и неудача Success and Failure
Управление учетными записями Account Management	Управление учетной записью компьютера Computer Account Management	Успех и неудача Success and Failure
Управление учетными записями Account Management	Другие события управления учетными записьми Other Account Management Events	Успех и неудача Success and Failure
Подробный отслеживание Detailed Tracking	Создание процесса Process Creation	Успешно Success
Подробный отслеживание Detailed Tracking	Завершение процесса Process Termination	Успешно Success
Logon/Logoff Logon/Logoff	Утверждения пользователей и устройств User/Device Claims	Не настроено Not configured
Logon/Logoff Logon/Logoff	Расширенный режим IPsec IPsec Extended Mode	Не настроено Not configured
Logon/Logoff Logon/Logoff	Быстрый режим IPsec IPsec Quick Mode	Не настроено Not configured
Logon/Logoff Logon/Logoff	Logon Logon	Успех и неудача Success and Failure
Logon/Logoff Logon/Logoff	Выход Logoff	Успешно Success
Logon/Logoff Logon/Logoff	Другие события Logon/Logoff Other Logon/Logoff Events	Успех и неудача Success and Failure
Logon/Logoff Logon/Logoff	Специальный логотип Special Logon	Успех и неудача Success and Failure
Logon/Logoff Logon/Logoff	Блокировка учетной записи Account Lockout	Успешно Success
Доступ к объекту Object Access	Приложение, сгенерированная Application Generated	Не настроено Not configured
Доступ к объекту Object Access	Файл Share File Share	Успешно Success
Доступ к объекту Object Access	Файловая система File System	Не настроено Not configured
Доступ к объекту Object Access	Другие события доступа к объектам Other Object Access Events	Не настроено Not configured
Доступ к объекту Object Access	Реестр Registry	Не настроено Not configured
Доступ к объекту Object Access	Съемные носители Removable Storage	Успешно Success
Изменение политики Policy Change	Изменение политики аудита Audit Policy Change	Успех и неудача Success and Failure
Изменение политики Policy Change	MPSSVC Rule-Level политики MPSSVC Rule-Level Policy Change	Успех и неудача Success and Failure
Изменение политики Policy Change	Другие события изменения политики Other Policy Change Events	Успех и неудача Success and Failure
Изменение политики Policy Change	Изменение политики проверки подлинности Authentication Policy Change	Успех и неудача Success and Failure
Изменение политики Policy Change	Изменение политики авторизации Authorization Policy Change	Успех и неудача Success and Failure
Использование привилегий Privilege Use	Конфиденциальное использование привилегий Sensitive Privilege Use	Не настроено Not configured
System System	Изменение состояния безопасности Security State Change	Успех и неудача Success and Failure
System System	Расширение системы безопасности Security System Extension	Успех и неудача Success and Failure
System System	Целостность системы System Integrity	Успех и неудача Success and Failure

Приложение B — рекомендуемая политика ACL системы реестра Appendix B — Recommended minimum registry system ACL policy

Клавиши Run и RunOnce полезны для злоумышленников и сохраняемости вредоносных программ. The Run and RunOnce keys are useful for intruders and malware persistence. Он позволяет запускать код (или запускать только один раз, соответственно) при входе пользователя в систему. It allows code to be run (or run only once then removed, respectively) when a user logs into the system.

Это можно легко распространить на другие клавиши точки запуска автоматического выполнения в реестре. This can easily be extended to other Auto-Execution Start Points keys in the registry.

Используйте следующие цифры, чтобы узнать, как настроить эти ключи реестра. Use the following figures to see how you can configure those registry keys.

Appendix C — параметры канала событий (включить и получить доступ к каналу) Appendix C — Event channel settings (enable and channel access) methods

Некоторые каналы отключены по умолчанию и должны быть включены. Some channels are disabled by default and have to be enabled. Другие, такие как Microsoft-Windows-CAPI2/Operational, должны иметь доступ к каналу, чтобы позволить встроенной группе безопасности чтения журналов событий читать из нее. Others, such as Microsoft-Windows-CAPI2/Operational must have the channel access modified to allow the Event Log Readers built-in security group to read from it.

Рекомендуемый и наиболее эффективный способ для этого — настроить базовую GPO для запуска запланированной задачи по настройке каналов событий (включить, установить максимальный размер и настроить доступ к каналу).) Это вступает в силу в следующем цикле обновления GPO и оказывает минимальное влияние на клиентские устройства. The recommended and most effective way to do this is to configure the baseline GPO to run a scheduled task to configure the event channels (enable, set maximum size, and adjust channel access.) This will take effect at the next GPO refresh cycle and has minimal impact on the client device.

В следующем фрагменте GPO выполняется следующее: The following GPO snippet performs the following:

• Включает канал событий Microsoft-Windows-Capi2/Operational. Enables the Microsoft-Windows-Capi2/Operational event channel.
• Задает максимальный размер файла для Microsoft-Windows-Capi2/Operational до 100 МБ. Sets the maximum file size for Microsoft-Windows-Capi2/Operational to 100MB.
• Задает максимальный размер файла для Microsoft-Windows-AppLocker/EXE и DLL до 100 МБ. Sets the maximum file size for Microsoft-Windows-AppLocker/EXE and DLL to 100MB.
• Задает максимальный доступ к каналу для Microsoft-Windows-Capi2/Operational, чтобы включить встроенную группу чтения журналов событий. Sets the maximum channel access for Microsoft-Windows-Capi2/Operational to include the built-in Event Log Readers security group.
• Включает канал событий Microsoft-Windows-DriverFrameworks-UserMode/Operational. Enables the Microsoft-Windows-DriverFrameworks-UserMode/Operational event channel.
• Задает максимальный размер файла для Microsoft-Windows-DriverFrameworks-UserMode/Operational до 50 МБ. Sets the maximum file size for Microsoft-Windows-DriverFrameworks-UserMode/Operational to 50MB.

Приложение D — минимальный уровень GPO для конфигурации клиента ВЭФ Appendix D — Minimum GPO for WEF Client configuration

Вот минимальные действия для работы ВЭФ: Here are the minimum steps for WEF to operate:

1. Настройка URI коллектора(ы). Configure the collector URI(s).
2. Запустите службу WinRM. Start the WinRM service.
3. Добавьте учетную запись сетевой службы в встроенную группу чтения журналов событий. Add the Network Service account to the built-in Event Log Readers security group. Это позволяет читать с защищенного канала событий, например канала событий безопасности. This allows reading from secured event channel, such as the security event channel.

Appendix E — аннотированный базовый запрос события подписки Appendix E – Annotated baseline subscription event query

Приложение F — аннотированный запрос события события подозрительных подписок Appendix F – Annotated Suspect Subscription Event Query

Приложение G — интернет-ресурсы Appendix G — Online resources

Дополнительные сведения можно получить по следующим ссылкам: You can get more info with the following links: