Effiziente Einrichtung und Konfiguration des Windows Event Collectors

Tutorials

Das Management von Ereignisprotokollen ist eine kritische Fähigkeit, die in allen Windows-Umgebungen erlernt werden sollte. Jede Sekunde werden Aktivitäten in Windows-Ereignisprotokollen aufgezeichnet, und sie dienen nicht nur als Sicherheitstool, sondern auch als wichtiges Hilfsmittel zur Fehlerbehebung. Mit einer Funktion namens Windows Event Forwarding (WEF) kann Windows Ereignisse von entfernten Maschinen an den Windows-Ereignissammler senden.

Übersicht über die Vorwärtsleitung von Windows-Ereignisprotokollen

WEF ist ein Dienst, der es Ihnen ermöglicht, Ereignisse von mehreren Windows-Servern weiterzuleiten und an einem Ort zu sammeln. Der Dienst besteht aus zwei Hauptkomponenten: einem Weiterleiter und einem Sammler. Ein Sammler ist ein Dienst, der auf einem Windows-Server ausgeführt wird und alle Ereignisse sammelt, die von einem Ereignisprotokoll-Weiterleiter gesendet werden.

Verwandt:Eine umfassende Anleitung zur Verwendung des PowerShell-Cmdlets „Get-WinEvent“

Die „Verbindung“ zwischen dem Weiterleitungsserver und einem Sammler wird als Abonnement bezeichnet.

Sammler dienen als Abonnement-Manager, die Ereignisse akzeptieren und Ihnen ermöglichen, festzulegen, von welchen Ereignisprotokoll-Warnungen sie gesammelt werden sollen.

Übersicht über das WEF-Projekt

Dies ist ein Projektartikel, in dem wir erläutern, wie man ein Projekt aufbaut oder eine Lösung implementiert. Jeder nachfolgende Abschnitt enthält kumulative Schritte, die auf den vorherigen aufbauen.

Für dieses Projekt lernen Sie, wie Sie eine grundlegende WEF-Implementierung einrichten. Sie lernen, wie Sie sowohl einen Collector einrichten als auch Ereignisse mit einem Abonnement an einen Collector weiterleiten.

Sie lernen, wie Sie:

  1. Einen Event Log Collector auf einer Windows Server-Instanz einrichten und konfigurieren. Dies wird der Windows Server sein, an den alle Event Log Forwarders Ereignisse senden werden.
  2. Eine Gruppenrichtlinie erstellen, die beim Anwenden die relevanten Windows Server-Instanzen auf den Collector zum Senden von Ereignissen verweist.
  3. Die Arten von Ereignissen konfigurieren, die an den Collector gesendet werden sollen.

Sie werden lernen, wie Sie jeden Schritt in diesem Artikel durchgehen.

Umgebung und Wissensvoraussetzungen

Bevor Sie zu weit gehen, stellen Sie bitte sicher, dass meine Umgebung mit Ihrer übereinstimmt. Stellen Sie bitte sicher, dass Sie die folgenden Punkte vor dem Start erfüllen:

  • (2) Windows Server-Instanzen – Sie können eine beliebige Windows Server-Instanz ab 2012 R2 oder höher verwenden. In diesem Artikel verwende ich Windows Server 2016.
  • Active Directory
  • GPO – Kenntnisse über Gruppenrichtlinienobjekte sind erforderlich.
  • WinRM – WinRM muss auf allen Clients ausgeführt werden. Es muss nur ausgeführt werden, nicht konfiguriert.

Verwandt: Was ist eine Gruppenrichtlinie und wie funktioniert sie? (Detailliert)

Konfigurieren des Windows Event Collectors

Die erste Aufgabe besteht darin, eine Ihrer Windows Server-Instanzen als Sammler zu konfigurieren. Der Sammler ist derjenige, der eingehende Ereignisprotokolle von den Weiterleitern empfängt.

Aktivieren von WinRM auf dem Windows Event Collector

Windows Server-Instanzen, die Ereignisse an den Sammler weiterleiten, tun dies über PowerShell Remoting oder WinRM. Sie müssen zunächst sicherstellen, dass WinRM auf Ihrem Sammler verfügbar ist. Wenn der Sammler Windows Server 2012 R2 und höher ausführt, ist WinRM standardmäßig aktiviert, aber die Windows-Firewall kann stören.

Führen Sie das PowerShell-Cmdlet Enable-PSRemoting ohne Parameter auf dem Sammler aus. Selbst wenn PowerShell Remoting bereits aktiviert ist, überspringt es die erforderlichen Schritte.

Zur Sicherheit können Sie auch Invoke-Command -ComputerName <COLLECTORHOSTNAME> -ScriptBlock {1} von einem Remote-Computer ausführen. Wenn Sie keinen Fehler erhalten, funktioniert PowerShell Remoting.

Starten des Subscription Collector Service

Jetzt, da PowerShell Remoting aktiviert und empfangsbereit ist, starten Sie den Subscription Collector Service. Der Subscription Collector Service muss auch automatisch starten, wenn Windows Server hochgefahren wird.

Auf dem Sammler öffnen Sie den Ereignisanzeige und klicken Sie auf Abonnements. Wenn Sie das erste Mal die Option Abonnements öffnen, fragt Windows, ob der Windows-Ereignisprotokollsammlerdienst gestartet und automatisch konfiguriert werden soll. Klicken Sie auf Ja, um zuzustimmen.

Sie können unten ein Beispiel für die Meldung sehen.

Windows Event Collector Service

Herzlichen Glückwunsch! Sie haben jetzt einen Sammler konfiguriert. Es ist jetzt an der Zeit, eine Gruppenrichtlinie einzurichten, die Windows Server-Instanzen anweist, Ereignisse an den Sammler weiterzuleiten.

Einrichten der Weiterleitungs-GPO

Der nächste Schritt besteht darin, einen oder mehrere Windows-Server zu konfigurieren, um Ereignisprotokolle an den Sammler weiterzuleiten. Der einfachste Weg, dies zu tun, besteht darin, eine GPO zu erstellen. Diese GPO kann dann auf eine oder mehrere Organisationseinheiten angewendet werden, die die Server enthalten, von denen Ereignisse gesendet werden sollen.

In diesem Projektartikel erfahren Sie die Grundlagen zur Einrichtung der erforderlichen Einstellungen in einer GPO. Wenn Sie jedoch eine umfassende Übersicht über alle verfügbaren Optionen wünschen, schauen Sie sich die Microsoft-Dokumentation an.

Zulassen, dass der Netzwerkdienst Ereignisprotokolle liest

WEF verwendet das Konto Netzwerkdienst, um Ereignisse von einem Weiterleiter an einen Sammler zu lesen und zu senden. Standardmäßig hat das Konto Netzwerkdienst keine Berechtigung dazu. Sie müssen zuerst die ACL festlegen, um dies zu ermöglichen.

Hinweis: Viele der Ereignisprotokolle in Windows Server gewähren dem Netzwerkdienst-Konto bereits Zugriff auf die gängigen Ereignisprotokolle wie Anwendung und System. Das Konto erhält jedoch keinen Zugriff auf das Sicherheitsereignisprotokoll und andere benutzerdefinierte Ereignisprotokolle.

Um dem Netzwerkdienst-Konto den Zugriff auf Ereignisprotokollweiterleitungen zu ermöglichen, verwenden Sie eine Gruppenrichtlinie (GPO). In diesem Artikel erfahren Sie, wie Sie dem Netzwerkdienst-Konto Zugriff auf das Sicherheitsereignisprotokoll gewähren. Andere Ereignisprotokolle folgen dem gleichen Prozess.

1. Öffnen Sie zunächst eine Eingabeaufforderung und führen Sie den Befehl wevtutil gl security aus. Dadurch werden verschiedene Informationen zum Sicherheitsereignisprotokoll angezeigt. Beachten Sie insbesondere die channelAccess SDDL-Zeile.

Im folgenden Beispiel sehen Sie das SDDL, das Sie für das Sicherheitsereignisprotokoll benötigen. Die channelAccess-Zeile repräsentiert die Berechtigungen, die für das Ereignisprotokoll festgelegt sind. Kopieren Sie das unten hervorgehobene SDDL und speichern Sie es an einem Ort, um es später einer GPO hinzuzufügen.

channelAccess SDDL

2. Erstellen Sie eine GPO über die Gruppenrichtlinienverwaltungskonsole. Navigieren Sie innerhalb der GPO zu ComputerkonfigurationRichtlinienAdministrative VorlagenWindows-KomponentenEreignisweiterleitungZielsubskriptionsmanager konfigurieren.

3. Setzen Sie den Wert für den Zielabonnement-Manager auf den WinRM-Endpunkt auf dem Sammler. Sie setzen den Server im Format:

Server=http://<FQDN des Sammlers>:5985/wsman/SubscriptionManager/WEC,Refresh=60

Bemerken Sie das Aktualisierungsintervall am Ende des Sammler-Endpunkts. Das Aktualisierungsintervall gibt an, wie oft Clients überprüfen sollten, ob neue Abonnements verfügbar sind.

4. Suchen Sie als nächstes die SDDL, die Sie zuvor von der Ausführung von wevtutil gl security kopiert haben, und fügen Sie sie in die Einstellung ComputerkonfigurationRichtlinienAdministrative VorlagenWindows-KomponentenEreignisprotokolldienstSicherheitKonfigurieren des Protokollzugriffs ein.

Beachten Sie, dass diese SDDL Vorrang vor allen anderen Berechtigungen hat, die für das Ereignisprotokoll konfiguriert wurden.

Ein Beispiel für das Aussehen Ihrer Gruppenrichtlinie (GPO) für das Sicherheitsereignisprotokoll finden Sie unten.

Configure log access GPO setting

5. Sobald die GPO erstellt ist, verknüpfen Sie diese entweder mit einer vorhandenen OU, die die Windows-Server enthält, von denen Ereignisprotokolle gesendet werden sollen, oder erstellen Sie eine neue OU und verknüpfen Sie die GPO damit. Jedes AD-Computerkonto, das Sie zu dieser OU hinzufügen, richtet nun ein Abonnement zum Sammler ein.

Ein Abonnement einrichten

Die Konfiguration von WEF, um alle Ereignisse für alle Windows-Server in einer Active Directory-Domäne zu sammeln, mag zwar eine gute Idee sein, ist es aber nicht. Sie müssen selektiv vorgehen und nur Ereignisse weiterleiten, die für Sie wichtig sind. Das Filtern des Lärms von dem, was wichtig ist, ist der wahre Wert von WEF.

Lassen Sie uns gemeinsam die Einrichtung eines Abonnements für das Sicherheitsereignisprotokoll durchgehen.

Da Sie bereits die Gruppenrichtlinie erstellt und mit einer Active Directory-OU verknüpft haben, die die Windows-Server enthält, von denen Sie Ereignisse senden möchten, sind die Ereignisquellen bereits eingerichtet

  1. Öffnen Sie auf dem Sammler den Windows-Ereignisbetrachter, klicken Sie mit der rechten Maustaste auf Abonnements und erstellen Sie dann ein Abonnement.
Creating an event log subscription

2. Wählen Sie wie unten gezeigt die Option Quellcomputer initiiert und klicken Sie dann auf Computergruppen auswählen. Hier wählen Sie die Computer aus, von denen Sie Ereignisse weiterleiten möchten.

Setting an event log source

Pro-Tipp: Auswahl von AD-Gruppen. Beispiel: „Domänencontroller“ füllt automatisch alle Computer in der Gruppe aus. Es ist nicht erforderlich, jedes Mal, wenn Sie einen neuen Server hinzufügen, einzelne Computer auszuwählen.

3. Wählen Sie als nächstes die Ereignisse aus, die weitergeleitet werden sollen. Öffnen Sie den Abfragefilter, wie unten gezeigt, und wählen Sie Sicherheit aus, um Ereignisse aus dem Sicherheitsereignisprotokoll an den Sammler weiterzuleiten.

Selecting Windows events to forward

4. Sobald das Sicherheitsprotokoll ausgewählt ist, können Sie die Filterung weiter einschränken, indem Sie die Ereignis-ID, Schlüsselwörter, Benutzer und Computer eingeben, wie unten gezeigt.

Filtering Windows events

5. Klicken Sie auf OK, um den Abfragefilter zu verlassen.

6. Klicken Sie im Fenster Abonnementeigenschaften auf Erweitert. Wählen Sie nun Minimale Latenz aus. Diese Einstellung gewährleistet, dass der Sammler Ereignisse so schnell wie möglich empfängt und hilft ihm auch, aufzuholen, falls er zurückfällt.

Setting Minimize Latency

Überprüfung der WEF-Konfiguration

Nachdem WEF eingerichtet ist, sollten Sie überprüfen, ob die Weiterleitungen tatsächlich eingegangen sind, indem Sie die Spalte „Quellcomputer“ auf der Hauptseite der Abonnements überprüfen.

Event Log subscriptions

Sie können auch das Betriebsprotokoll des Event Forwarding-Plugins unter Anwendungen und Dienste auf dem Client überprüfen, um sicherzustellen, dass alles funktioniert. Hier sehen Sie beschreibende Fehler, wenn etwas mit Kerberos oder Firewalls schiefgelaufen ist.

EventLog-ForwardingPlugin event

Alles, was noch zu tun ist, ist, einen Client mit niedrigem Wert zu finden, das Sicherheitsprotokoll zu löschen und zu sehen, ob Sie eine Benachrichtigung erhalten.

Ihre Erkenntnisse

In diesem Projekt haben Sie gelernt, wie Sie ein grundlegendes WEF-Abonnement einrichten. Sie haben:

  • Einen Ereignissammler eingerichtet
  • Eine Gruppenrichtlinie erstellt, um ein Abonnement auf verschiedenen Windows Server-Weiterleitern zu erstellen
  • Ein WEF-Abonnement konfiguriert, um nur bestimmte Ereignisse zu senden
  • Sicherstellen, dass das WEF-Abonnement Ereignisse so schnell wie möglich sendet

WEF ist anfangs etwas schwierig zu konfigurieren, aber sobald es läuft, sollten Sie wenig Probleme und minimale Wartungsaufgaben haben.

Source:
https://adamtheautomator.com/windows-event-collector/