إدارة سجل الأحداث هي مهارة حاسمة يجب أن يتعلمها في جميع بيئات Windows. يتم تسجيل النشاط في سجلات أحداث Windows كل ثانية ويعمل كأداة أمان وكذلك كمساعدة مهمة لحل المشاكل. باستخدام ميزة تسمى توجيه أحداث Windows (WEF)، يمكن لنظام Windows إرسال الأحداث إلى جهاز جمع الأحداث في Windows من الأجهزة البعيدة.
نظرة عامة على توجيه سجل الأحداث في Windows
WEF هو خدمة تسمح لك بتوجيه الأحداث من عدة خوادم Windows وجمعها في مكان واحد. تحتوي الخدمة على عنصرين رئيسيين؛ وحدة توجيه وجهاز جمع. جهاز الجمع هو خدمة تعمل على خادم Windows وتجمع كافة الأحداث المرسلة إليها من وحدة توجيه سجل الأحداث.
الـ”رابط” بين خادم التوجيه وجهاز الجمع يعرف باسم اشتراك.
تعمل أجهزة الجمع كمديري اشتراكات يقبلون الأحداث ويتيحون لك تحديد الإنذارات في سجل الأحداث التي ترغب في جمعها من النقاط النهائية.
نظرة عامة على مشروع WEF
هذه مقالة المشروع حيث نغطي كيفية إنشاء مشروع أو تنفيذ حل. ستكون كل قسم يأتي بعده تراكميًا ويعتمد على الخطوات السابقة.
لهذا المشروع، ستتعلم كيفية إعداد تنفيذ أساسي لجمع الأحداث على نظام Windows. ستتعلم كيفية إعداد جهاز جمع وكيفية إعادة توجيه الأحداث إلى الجهاز المجمع باستخدام اشتراك.
ستتعلم كيفية:
- إعداد وتكوين جهاز جمع سجل الأحداث على نسخة من نظام Windows Server. وسيكون هذا الجهاز هو نظام Windows Server الذي ستقوم جميع أجهزة إعادة توجيه سجل الأحداث بإرسال الأحداث إليه.
- إنشاء GPO الذي عند تطبيقه، سيوجه نسخ نظام Windows Server المطبقة إلى الجهاز المجمع لإرسال الأحداث إليه.
- تكوين أنواع الأحداث المراد إرسالها إلى الجهاز المجمع.
ستتعلم كيفية العمل عبر كل خطوة في بقية هذه المقالة.
متطلبات البيئة والمعرفة
قبل أن تتقدم بشكل كبير، دعنا نتأكد أولاً من أن بيئتي مطابقة لبيئتك. يرجى التأكد من وجود العناصر التالية قبل البدء:
- (2) أجهزة نظام Windows Server – يمكنك استخدام أي نسخة من نظام Windows Server 2012 R2 أو الإصدارات الأحدث. في هذه المقالة، سأستخدم نظام Windows Server 2016.
- Active Directory
- GPO – ستحتاج إلى معرفة جيدة بكائنات سياسة المجموعة.
- WinRM – يجب أن يكون WinRM قيد التشغيل على جميع العملاء. غير مكون فقط يعمل.
تكوين جهاز جمع الأحداث على نظام Windows.
أول مهمة يجب القيام بها هي تكوين أحد حالات خادم Windows الخاصة بك كمجمع. تذكر أن المجمع هو الذي يستقبل سجلات الأحداث الواردة من المرسل.
تمكين WinRM على جامع الأحداث في Windows
تقوم حالات خوادم Windows بتوجيه الأحداث إلى المجمع باستخدام التحكم عن بُعد PowerShell أو WinRM. يجب أن تتأكد أولاً من توافر WinRM على المجمع الخاص بك. إذا كان المجمع يعمل بنظام Windows Server 2012 R2 أو الإصدارات الأحدث، فإن WinRM ممكّن بشكل افتراضي، ولكن جدار الحماية في Windows قد يتداخل.
قم بتشغيل سطر الأوامر PowerShell Enable-PSRemoting بدون معلمات على المجمع. حتى إذا كان التحكم عن بُعد PowerShell قد تم تمكينه بالفعل، فإنه سيتجاوز الخطوات اللازمة.
للتأكد، يمكنك أيضًا تشغيل الأمر Invoke-Command -ComputerName <اسم مضيف المجمع> -ScriptBlock {1} من جهاز كمبيوتر عن بُعد. إذا لم تتلق أي خطأ، فإن التحكم عن بُعد PowerShell يعمل.
بدء خدمة مجمع الاشتراك
الآن بعد تمكين التحكم عن بُعد PowerShell والاستماع إليه، قم ببدء خدمة مجمع الاشتراك. يجب أن تبدأ خدمة مجمع الاشتراك أيضًا تلقائيًا عند تشغيل Windows Server.
على المجمع، قم بفتح عارض الأحداث وانقر على الاشتراكات. عندما تفتح خيار الاشتراكات للمرة الأولى، ستطلب ويندوز منك بدء خدمة جامع سجل الأحداث في ويندوز وتكوينها للبدء تلقائيًا. انقر فوق نعم للقبول.
يمكنك رؤية مثال على الرسالة أدناه.
تهانينا! لديك الآن مجمع مكون. حان الوقت الآن لإعداد GPO الذي سيوجه نسخ Windows Server لإرسال الأحداث إلى المجمع.
إعداد GPO للموجّهات الأمامية
الخطوة التالية هي تكوين خادم ويندوز واحد أو أكثر لبدء إرسال سجلات الأحداث إلى المجمع. أسهل طريقة للقيام بذلك هي عن طريق إنشاء GPO. يمكن تطبيق هذا GPO على وحدة تنظيمية واحدة أو أكثر تحتوي على الخوادم لإرسال الأحداث منها.
ستتعلم أساسيات إعداد الإعدادات اللازمة في GPO في هذه المقالة. ولكن إذا كنت ترغب في الحصول على نظرة عامة كاملة مع جميع الخيارات المتاحة، يرجى الاطلاع على وثائق مايكروسوفت.
السماح لخدمة الشبكة بقراءة سجلات الأحداث
تستخدم WEF حساب خدمة الشبكة لقراءة الأحداث وإرسالها من الموجه إلى المجمع. بشكل افتراضي، لا يحصل حساب خدمة الشبكة على صلاحية للقيام بذلك. ستحتاج أولاً إلى تعيين هذا التحكم للسماح به.
ملاحظة: العديد من سجلات الأحداث في خادم ويندوز تمنح حساب الخدمة الشبكية وصولًا إلى سجلات الأحداث المشتركة مثل التطبيق والنظام. ولكن لا يتم منح الحساب وصولًا إلى سجل الأحداث الأمان وسجلات الأحداث المخصصة الأخرى.
للسماح لحساب الخدمة الشبكية بقراءة سجلات الأحداث على مرسلي سجلات الأحداث، استخدم سياسة مجموعة (GPO). في هذه المقالة، ستتعلم كيفية منح حساب الخدمة الشبكية وصولًا إلى سجل الأحداث الأمان. ستتبع عملية مماثلة للسجلات الأخرى.
1. ابدأ بفتح نافذة الأوامر وتشغيل الأمر wevtutil gl security. سيعرض هذا الأمر معلومات مختلفة حول سجل الأحداث الأمان. ولكن القسم الذي يجب الانتباه إليه هو channelAccess SDDL.
يمكنك أن ترى في الأسفل مثالًا لـ SDDL الذي ستحتاجه لسجل الأحداث الأمان. تُمثل السطر channelAccess الأذونات المُعينة على سجل الأحداث. انسخ SDDL المُظلل أدناه واحفظه في مكان لاحق لإضافته إلى GPO.
2. أنشئ GPO عبر واجهة تحكم إدارة سياسة المجموعة. داخل GPO، انتقل إلى تكوين الكمبيوتر → السياسات → القوالب الإدارية → مكونات ويندوز → إعداد إعادة توجيه الأحداث → تكوين مدير الاشتراك الهدف.
3. قم بتعيين قيمة مدير الاشتراك المستهدف على نقطة نهاية WinRM على المجمع. ستقوم بتعيين الخادم ليكون في الصيغة:
Server=http://<FQDN للمجمع>:5985/wsman/SubscriptionManager/WEC,Refresh=60
لاحظ فاصل التحديث في نهاية نقطة نهاية المجمع. يشير فاصل التحديث إلى تكرار فحص العملاء لمعرفة ما إذا كانت هناك اشتراكات جديدة متاحة.
4. بعد ذلك ، اعثر على SDDL الذي قمت بنسخه سابقًا من تشغيل wevtutil gl security والصقه في الإعداد تكوين الكمبيوتر → السياسات → القوالب الإدارية → مكونات Windows → خدمة سجل الأحداث → الأمان → تكوين وصول السجل.
لاحظ أن هذا SDDL سيكون له الأسبقية على جميع الأذونات الأخرى التي تم تكوينها لسجل الأحداث.
يمكنك رؤية مثال على شكل سياسة المجموعة التي ستكون عليها لسجل الأحداث الأمان أدناه.
5. بمجرد إنشاء سياسة المجموعة ، ستقوم بربط هذه السياسة إما بوحدة تنظيمية موجودة تحتوي على خوادم Windows لإرسال سجلات الأحداث منها أو إنشاء وحدة تنظيمية جديدة وربط السياسة بها. أي حساب كمبيوتر AD تضيفه إلى هذه الوحدة التنظيمية سيقوم الآن بإعداد اشتراك للمجمع.
إعداد الاشتراك
على الرغم من أن تكوين WEF لجمع جميع الأحداث لجميع خوادم Windows في نطاق Active Directory قد يبدو فكرة جيدة ، إلا أنه ليس كذلك. يجب أن تكون انتقائيًا وترسل فقط الأحداث الهامة بالنسبة لك. تصفية الضوضاء عن المهم هو المكان الذي يظهر فيه WEF قيمته الحقيقية.
دعنا نعمل على إعداد اشتراك لسجل أحداث الأمان.
نظرًا لأنك قد أنشأت بالفعل GPO وربطته بوحدة تنظيم النشاط الدليل النشط التي تحتوي على خوادم Windows التي ترغب في إرسال الأحداث منها، فإن مصادر الأحداث معمول بها بالفعل.
- في الجهاز الجامع، قم بفتح عارض أحداث Windows وانقر بزر الماوس الأيمن على الاشتراكات ثم إنشاء اشتراك.
2. كما هو موضح أدناه، حدد الخيار بدء تشغيل الكمبيوتر المصدر ثم انقر فوق تحديد مجموعات الكمبيوتر. هنا يتعين عليك تحديد الكمبيوترات التي ترغب في إرسال الأحداث منها.
نصيحة مهنية: حدد مجموعات AD. على سبيل المثال: “مراقبي المجال” سيتم ملء الكمبيوترات تلقائيًا داخل المجموعة. لا حاجة لتحديد كل كمبيوتر عند إضافة خادم جديد.
3. حدد بعد ذلك الأحداث التي يجب إرسالها. عند فتح مرشح الاستعلام كما يمكنك رؤيته أدناه، حدد أمان لإرسال الأحداث إلى الجهاز الجامع من سجل أحداث الأمان.
4. بمجرد تحديد سجل الأمان، يمكنك تصفية المزيد من التفاصيل عن طريق إدخال معرّف الحدث والكلمات الأساسية والمستخدمين والكمبيوترات كما هو موضح أدناه.
5. انقر فوق موافق للخروج من مرشح الاستعلام.
6. انقر فوق متقدم في نافذة خصائص الاشتراك. حدد الآن تقليل التأخير. سيضمن هذا الإعداد استلام الجهاز الجامع للأحداث في أقرب وقت ممكن وكذلك مساعدته في اللحاق بالتأخر إذا حدث.
التحقق من تكوين WEF
بمجرد إعداد WEF، يجب عليك التحقق الآن لمعرفة ما إذا كانت المرسلات قد قامت بالفعل بالتحقق من العمود “أجهزة الكمبيوتر المصدرة” في صفحة الاشتراكات الرئيسية.
يمكنك أيضًا التحقق من سجل التشغيل العملي لمكون إعادة الأحداث تحت “التطبيقات والخدمات” على العميل للتأكد من أن كل شيء يعمل بشكل صحيح. هنا سترى أخطاء وصفية إذا حدث خلل في Kerberos أو جدران الحماية.
كل ما تبقى هو العثور على عميل ذو قيمة منخفضة، ومسح سجل الأمان ومراقبة ما إذا كنت ستحصل على تنبيه.
ملخصاتك
في هذا المشروع، تعلمت كيفية إعداد اشتراك WEF أساسي. لقد:
- أنشأت مجمع أحداث.
- أنشأت GPO لإنشاء اشتراك على مختلف موجهات خوادم Windows.
- قمت بتكوين اشتراك WEF لإرسال أحداث محددة فقط.
- ضمنت أن اشتراك WEF يرسل الأحداث بأسرع ما يمكن.
إعداد WEF يتطلب بعض الخبرة في البداية، ولكن بمجرد أن يتم تشغيله، يجب أن تواجه قليلًا من المشاكل والصعوبات في الصيانة.
Source:
https://adamtheautomator.com/windows-event-collector/