Централизованный Event Log в Windows 2008 Server

Мне очень понравилась новая возможность по работе с журналами событий в Windows 2008/7/Vista, называемая Event Log forwarding (subscription — или подписка), которая основана на технологии WinRM. Данная функция позволяет вам получить все события со всех журналов с множества серверов без использования сторонних продуктов и настраивается все это в течении всего пары минут. Возможно, именно эта технология позволит вам отказаться от столь любимых многими системными администраторами Kiwi Syslog Viewer и Splunk.

Итак схема такая, у нас есть сервер Windows 2008, запущенный в качестве коллектора логов с одного или нескольких источников. В качестве подготовительной работы нужно выполнить следующие 3 шага:

На коллекторе логов в командной строке с правами администратора запустите следующую команду, которая запустит службу Windows Event Collector Service, измените тип ее запуска в автоматический (Automatically — Delayed Start) и включите канал ForwardedEvents, если он был отключен.
wecutil qc
На каждом из источников нужно активировать WinRM:
winrm quickconfig
По умолчанию сервер-коллектор логов не может просто собирать информацию из журналов событий источников, вам придется добавить учетную запись компьютера-коллектора в локальные администраторы на все сервера-источники логов (в том случае, если сервер-источник работает под управлением 2008 R2, то достаточно добавить учетку коллектора в группу Event Log Readers)

Теперь мы должны создать подписки (Subscriptions) на сервер коллектор. Для чего зайдите на него, откройте консоль MMC Event Viewer, щелкните правой кнопкой мыши по Subscriptions и выберите Create Subscription:

Здесь вы можете выбрать несколько различных настроек.

При каждом добавлении коллектора, неплохо было бы проверить подключение:

Далее вы должны настроить фильтр, указав какие типы событий вы хотите получать (например, Errors и Warnings), также можно собирать события по конкретным номерам Event ID или по словам в описании события. Есть один нюанс: не выбирайте слишком много типов событий в одну подписку, анализировать этот журнал можно будет бесконечно :).

Расширенные настройки (Advanced settings) могут понадобиться, если вы хотите использовать нестандартный порт для WinRM, или захотите работать по протоколу HTTPS, или же оптимизировать сьор логов по медленным каналам WAN.

После нажатия OK подписка будет создана. Здесь вы можете щелкнуть правой кнопкой мыши по подписке и получить статус выполнения (Runtime Status), или перезапустить ее (Retry) если предыдущий запуск был неудачным. Обратите внимание, что даже если ваша подписка имеет зеленый значок, в процедуре сбора логов могут быть ошибки. Поэтому всегда проверяйте Runtime Status.

После начала работы подписки, вы сможете просматривать перенаправленные события. Имейте в виду, что если журналы очень большие, то их первичный сбор может занять некоторое время.

Конфигурацию можно посмотреть на вкладке Properties -> Subscriptions.

В том случае, если сбор логов не работает, сначала на сервере-источнике логов удостоверьтесь, что локальный файрвол настроен корректно и разрешает трафик WinRM.

Один раз, когда я добавил учетную запись сервера-коллектора в группу Event Log Readers, но не добавил ее локальные админы, была такая ошибка;

[WDS1.ad.local] – Error – Last retry time: 2010-09-28 16:46:22. Code (0×5): Windows Event Forward Plugin failed to read events. Next retry time: 2010-09-28 16:51:22.

Я попробовал добавить учетку сервера в группу локальных админов, в результате появилась такая ошибка:

[WDS1.ad.local] – Error – Last retry time: 2010-09-28 16:43:18. Code (0×7A): The data area passed to a system call is too small. Next retry time: 2010-09-28 16:48:18.

Оказывается, я выбрал в фильтре слишком много журналов для сбора. Поправив фильтры так, чтобы они собирали чуть меньше информации, я победил эту ошибку.

Настройка пересылки событий Windows Configuring Windows Event Forwarding

Датчик Microsoft Defender для удостоверений Microsoft Defender for Identity автоматически считывает события локально — настраивать пересылку событий не требуется. The Microsoft Defender для удостоверений Microsoft Defender for Identity sensor automatically reads events locally, without the need to configure event forwarding.

Для расширения возможностей обнаружения службе » Defender для удостоверений Defender for Identity » требуется доступ к событиям Windows, приведенным в статье Настройка сбора данных о событиях Windows. To enhance detection capabilities, Defender для удостоверений Defender for Identity needs the Windows events listed in Configure event collection. Эти события может автоматически считывать датчик Defender для удостоверений Defender for Identity . Если датчик Defender для удостоверений Defender for Identity не развернут, они передаются в автономный датчик Defender для удостоверений Defender for Identity . Для этого в автономном датчике Defender для удостоверений Defender for Identity настраивается ожидание передачи событий SIEM или пересылка событий Windows. These can either be read automatically by the Defender для удостоверений Defender for Identity sensor or in case the Defender для удостоверений Defender for Identity sensor is not deployed, it can be forwarded to the Defender для удостоверений Defender for Identity standalone sensor in one of two ways, by configuring the Defender для удостоверений Defender for Identity standalone sensor to listen for SIEM events or by configuring Windows Event Forwarding.

• Автономные датчики Defender для удостоверений Defender for Identity не поддерживают сбор записей журнала трассировки событий Windows (ETW), которые предоставляют данные для нескольких обнаружений. Defender для удостоверений Defender for Identity standalone sensors do not support the collection of Event Tracing for Windows (ETW) log entries that provide the data for multiple detections. Для полного охвата среды рекомендуется развернуть датчик Defender для удостоверений Defender for Identity . For full coverage of your environment, we recommend deploying the Defender для удостоверений Defender for Identity sensor.
• Убедитесь, что контроллер домена правильно настроен для записи требуемых событий. Check that the domain controller is properly configured to capture the required events.

Конфигурация перенаправления событий Windows для автономного датчика Defender для удостоверений с зеркалированием портов WEF configuration for Defender for Identity standalone sensor’s with port mirroring

Когда настроите зеркальное отображение портов с контроллеров домена на автономный датчик Defender для удостоверений Defender for Identity , выполните следующие инструкции, чтобы реализовать пересылку событий Windows с помощью конфигурации «инициировано источником». After you configured port mirroring from the domain controllers to the Defender для удостоверений Defender for Identity standalone sensor, follow the following instructions to configure Windows Event forwarding using Source Initiated configuration. Это один из возможных способов пересылки событий Windows. This is one way to configure Windows Event forwarding.

Шаг 1. Добавление учетной записи сетевой службы в группу читателей журнала событий для домена Step 1: Add the network service account to the domain Event Log Readers Group.

В этом сценарии предполагается, что автономный датчик Defender для удостоверений Defender for Identity является членом домена. In this scenario, assume that the Defender для удостоверений Defender for Identity standalone sensor is a member of the domain.

1. Откройте раздел «Пользователи и компьютеры Active Directory», перейдите в папку Builtin и дважды щелкните группу Читатели журнала событий. Open Active Directory Users and Computers, navigate to the BuiltIn folder and double-click Event Log Readers.
2. Выберите пункт Участники. Select Members.
3. Если в этом списке нет элемента Сетевая служба, нажмите кнопку Добавить и введите имя Сетевая служба в поле Введите имена выбираемых объектов. If Network Service is not listed, click Add, type Network Service in the Enter the object names to select field. Щелкните Проверить имена и дважды нажмите ОК. Then click Check Names and click OK twice.

После добавления сетевой службы в группу Читатели журнала событий перезагрузите контроллеры домена, чтобы изменения вступили в силу. After adding the Network Service to the Event Log Readers group, reboot the domain controllers for the change to take effect.

Шаг 2. Создание на контроллерах домена политики для изменения параметра «Настроить конечный диспетчер подписки» Step 2: Create a policy on the domain controllers to set the Configure target Subscription Manager setting.

Вы можете настроить групповую политику для этих параметров, а затем применять ее к каждому контроллеру домена, контролируемому автономным датчиком Defender для удостоверений Defender for Identity . You can create a group policy for these settings and apply the group policy to each domain controller monitored by the Defender для удостоверений Defender for Identity standalone sensor. Описанные ниже действия позволяют изменить локальную политику контроллера домена. The following steps modify the local policy of the domain controller.

Выполните следующую команду на каждом контроллере домена: winrm quickconfig. Run the following command on each domain controller: winrm quickconfig

В командной строке введите gpedit.msc. From a command prompt type gpedit.msc.

Раскройте элементы Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Пересылка событий. Expand Computer Configuration > Administrative Templates > Windows Components > Event Forwarding

Дважды щелкните Настроить конечный диспетчер подписки. Double-click Configure target Subscription Manager.

1. Выберите значение Включено. Select Enabled.
2. В разделе Параметры щелкните Показать. Under Options, click Show.
3. В поле SubscriptionManagers введите следующее значение и нажмите кнопку ОК: Server=http\://\ :5985/wsman/SubscriptionManager/WEC,Refresh=10 (Пример: Server=http\://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10 ) Under SubscriptionManagers, enter the following value and click OK: Server=http\://\ :5985/wsman/SubscriptionManager/WEC,Refresh=10 (For example: Server=http\://atpsensor9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10 )

Нажмите кнопку ОК. Click OK.

В командной строке с повышенными привилегиями введите команду gpupdate /force. From an elevated command prompt type gpupdate /force.

Шаг 3. Выполнение действий на автономном датчике Defender для удостоверений Defender for Identity Step 3: Perform the following steps on the Defender для удостоверений Defender for Identity standalone sensor

Откройте командную строку с повышенными привилегиями и введите wecutil qc Open an elevated command prompt and type wecutil qc

Откройте средство просмотра событий. Open Event Viewer.

Щелкните правой кнопкой мыши Подписки и выберите Создать подписки. Right-click Subscriptions and select Create Subscription.

1. Введите имя и описание для подписки. Enter a name and description for the subscription.
2. В параметре Журнал на конечном компьютере должно быть выбрано значение Пересланные события. For Destination Log, confirm that Forwarded Events is selected. Чтобы служба » Defender для удостоверений Defender for Identity » могла прочитать события, для журнала назначения следует указать Перенаправленные события. For Defender для удостоверений Defender for Identity to read the events, the destination log must be Forwarded Events.
3. Выберите Инициировано исходным компьютером и нажмите Выбор групп компьютеров. Select Source computer initiated and click Select Computers Groups.
   1. Щелкните Добавить компьютер в домен. Click Add Domain Computer.
   2. Введите имя контроллера домена в поле Введите имена выбираемых объектов. Enter the name of the domain controller in the Enter the object name to select field. Щелкните Проверить имена и нажмите кнопку ОК. Then click Check Names and click OK.
   3. Нажмите кнопку ОК. Click OK.
4. Щелкните Выбрать события. Click Select Events.
   1. Щелкните По журналу и выберите Журнал безопасности. Click By log and select Security.
   2. В поле Включить/исключить идентификаторы событий введите номер события и нажмите кнопку OK. In the Includes/Excludes Event ID field type the event number and click OK. Например, введите 4776, как в следующем примере. For example, type 4776, like in the following sample:
      
5. Щелкните созданную подписку правой кнопкой мыши и выберите Состояние выполнения, чтобы проверить, есть ли проблемы с состоянием. Right-click the created subscription and select Runtime Status to see if there are any issues with the status.
6. Через несколько минут проверьте, отображаются ли события, для которых настроена пересылка, в списке перенаправленных событий в автономном датчике Defender для удостоверений Defender for Identity . After a few minutes, check to see that the events you set to be forwarded is showing up in the Forwarded Events on the Defender для удостоверений Defender for Identity standalone sensor.