Configuration et installation efficaces du collecteur d’événements Windows

La gestion du journal des événements est une compétence essentielle à apprendre dans tous les environnements Windows. Les activités sont enregistrées dans les journaux d’événements Windows chaque seconde et ils servent non seulement d’outil de sécurité, mais aussi d’aide précieuse au dépannage. Grâce à une fonctionnalité appelée Windows Event Forwarding (WEF), Windows peut envoyer des événements vers le collecteur d’événements Windows à partir de machines distantes.

Aperçu de la redirection des journaux d’événements Windows

WEF est un service qui vous permet de rediriger des événements provenant de plusieurs serveurs Windows et de les collecter en un seul endroit. Le service comprend deux composants principaux : un transmetteur et un collecteur. Un collecteur est un service s’exécutant sur un serveur Windows qui collecte tous les événements qui lui sont envoyés par un transmetteur de journal d’événements.

Articles connexes :Guide complet sur l’utilisation de la cmdlet PowerShell Get-WinEvent

Le « lien » entre le serveur de redirection et un collecteur est appelé une souscription.

Les collecteurs servent de gestionnaires de souscriptions qui acceptent les événements et vous permettent de spécifier quels alertes de journal d’événements collecter à partir des points d’extrémité.

Aperçu du projet WEF

Cet article présente un projet dans lequel nous expliquons comment construire un projet ou mettre en œuvre une solution. Chaque section ci-après sera constituée d’étapes cumulatives qui s’appuient sur les précédentes.

Pour ce projet, vous allez apprendre comment mettre en place une implémentation de base du service de collecte d’événements Windows. Vous apprendrez comment configurer à la fois un collecteur et comment transférer des événements à un collecteur avec un abonnement.

Vous apprendrez comment :

1. Configurer et paramétrer un collecteur de journaux d’événements sur une instance de serveur Windows. Il s’agira du serveur Windows vers lequel tous les expéditeurs de journaux d’événements enverront leurs événements.
2. Créer une stratégie de groupe (GPO) qui, une fois appliquée, dirigera les instances de serveur Windows concernées vers le collecteur pour envoyer les événements.
3. Configurer les types d’événements à envoyer au collecteur.

Vous apprendrez comment procéder à chaque étape dans le reste de cet article.

Exigences environnementales et de connaissances

Avant d’aller trop loin, assurez-vous d’abord que mon environnement est identique au vôtre. Assurez-vous d’avoir les éléments suivants en place avant de commencer :

• (2) Instances de serveur Windows – Vous pouvez utiliser n’importe quelle instance de serveur Windows 2012 R2 ou supérieure. Dans cet article, j’utiliserai Windows Server 2016.
• Active Directory
• GPO – Une connaissance des objets de stratégie de groupe sera nécessaire.
• WinRM – WinRM doit être en cours d’exécution sur tous les clients. Pas seulement configuré, mais en cours d’exécution.

Lié : Qu’est-ce que la stratégie de groupe et comment fonctionne-t-elle ? (En détail)

Configuration du collecteur d’événements Windows.

La première tâche à effectuer consiste à configurer l’une de vos instances de Windows Server en tant que collecteur. Rappelez-vous que le collecteur est celui qui reçoit les journaux d’événements entrants des expéditeurs.

Activation de WinRM sur le collecteur d’événements Windows

Les instances de Windows Server qui transmettent les événements au collecteur le font via PowerShell Remoting ou WinRM. Vous devez d’abord vous assurer que WinRM est disponible sur votre collecteur. Si le collecteur exécute Windows Server 2012 R2 et versions ultérieures, WinRM est activé par défaut, mais le pare-feu Windows peut interférer.

Exécutez la cmdlet PowerShell Enable-PSRemoting sans paramètres sur le collecteur. Même si PowerShell Remoting est déjà activé, il passera les étapes nécessaires.

Pour être sûr, vous pouvez également exécuter Invoke-Command -ComputerName <COLLECTORHOSTNAME> -ScriptBlock {1} depuis un ordinateur distant. Si vous ne recevez pas d’erreur, PowerShell Remoting fonctionne.

Démarrage du service de collecte d’abonnements

Maintenant que PowerShell Remoting est activé et en écoute, démarrez le service de collecte d’abonnements. Le service de collecte d’abonnements doit également démarrer automatiquement lorsque Windows Server démarre.

Sur le collecteur, ouvrez Observateur d’événements, cliquez sur Souscriptions. La première fois que vous ouvrez l’option Souscriptions, Windows vous demandera si vous voulez démarrer le Service de collecteur de journaux d’événements Windows et le configurer pour démarrer automatiquement. Cliquez sur Oui pour accepter.

Vous pouvez voir un exemple du message ci-dessous.

Félicitations ! Vous avez maintenant un collecteur configuré. Il est maintenant temps de configurer un GPO qui indiquera aux instances de Windows Server d’envoyer les événements vers le collecteur.

Configuration du GPO des expéditeurs

La prochaine étape consiste à configurer un ou plusieurs serveurs Windows pour commencer à envoyer des journaux d’événements vers le collecteur. La manière la plus simple de le faire est de créer un GPO. Ce GPO peut ensuite être appliqué à une ou plusieurs UO qui contiennent les serveurs à partir desquels les événements doivent être envoyés.

Vous apprendrez les bases de la configuration des paramètres nécessaires dans un GPO dans cet article du projet. Mais si vous souhaitez obtenir une description complète de toutes les options disponibles, consultez la documentation Microsoft.

Autoriser le service réseau à lire les journaux d’événements

WEF utilise le compte Service réseau pour lire et envoyer les événements d’un expéditeur vers un collecteur. Par défaut, le compte Service réseau n’a pas les autorisations nécessaires pour le faire. Vous devrez d’abord définir les ACL pour le permettre.

Note : Bon nombre des journaux d’événements dans Windows Server accordent déjà à compte Network Service l’accès aux journaux d’événements courants tels que Application et Système. Mais le compte n’a pas accès au journal d’événements de sécurité et aux autres journaux d’événements personnalisés.

Pour permettre au compte Network Service de lire les journaux d’événements sur les transféreurs de journaux d’événements, utilisez une GPO. Dans cet article, vous apprendrez comment accorder au compte Network Service l’accès au journal d’événements de sécurité. Les autres journaux d’événements suivront le même processus.

1. Commencez par ouvrir une invite de commandes et exécutez wevtutil gl security. Cela fournira diverses informations sur le journal d’événements de sécurité. Mais l’élément à surveiller est le channelAccess SDDL.

Vous pouvez voir ci-dessous un exemple du SDDL dont vous aurez besoin pour le journal d’événements de sécurité. La ligne channelAccess représente les autorisations définies sur le journal d’événements. Copiez le SDDL surligné ci-dessous et enregistrez-le quelque part pour l’ajouter ultérieurement à une GPO.

2.  Créez une GPO via la Console de gestion des stratégies de groupe. À l’intérieur de la GPO, accédez à Configuration de l’ordinateur → Stratégies → Modèles d’administration → Composants Windows → Transfert d’événements → Configurer le gestionnaire d’abonnement cible.

3. Définissez la valeur de gestionnaire d’abonnement cible sur le point de terminaison WinRM du collecteur. Vous définirez le serveur au format :

Serveur=http://<nom_complet_ordinateur_collecteur>:5985/wsman/SubscriptionManager/WEC,Rafraîchissement=60

Notez l’intervalle de rafraîchissement à la fin du point de terminaison du collecteur. L’intervalle de rafraîchissement indique à quelle fréquence les clients doivent vérifier s’il existe de nouveaux abonnements disponibles.

4. Ensuite, recherchez la SDDL que vous avez copiée précédemment en exécutant wevtutil gl security et collez-la dans le paramètre Configuration de l’ordinateur → Stratégies → Modèles d’administration → Composants Windows → Service des journaux d’événements → Sécurité → Configurer l’accès aux journaux.

Notez que cette SDDL aura la priorité sur toutes les autres autorisations configurées pour le journal d’événements.

Vous pouvez voir un exemple de l’apparence de votre GPO ci-dessous pour le journal d’événements Security.

5. Une fois la GPO créée, vous devrez soit la lier à une UO existante contenant les serveurs Windows à partir desquels vous souhaitez envoyer les journaux d’événements, soit créer une nouvelle UO et y lier la GPO. Tout compte d’ordinateur AD que vous ajoutez à cette UO mettra en place un abonnement vers le collecteur.

Configuration d’un abonnement

Bien que configurer WEF pour collecter tous les événements de tous les serveurs Windows d’un domaine Active Directory puisse sembler être une bonne idée, ce n’est pas le cas. Vous devez être sélectif et ne transférer que les événements qui vous importent. Filtrer le bruit de ce qui compte est là où WEF démontre sa véritable valeur.

Travaillons maintenant à la configuration d’un abonnement pour le journal des événements de sécurité.

Puisque vous avez déjà créé le GPO et l’avez lié à une unité organisationnelle Active Directory contenant les serveurs Windows à partir desquels vous souhaitez envoyer des événements, les sources d’événements sont déjà configurées.

1. Sur le collecteur, ouvrez l’Observateur d’événements Windows, puis cliquez avec le bouton droit sur Souscriptions, puis créez une souscription.

2. Comme indiqué ci-dessous, sélectionnez l’option Ordinateur source initiant et cliquez sur Sélectionner des groupes d’ordinateurs. C’est là que vous sélectionnerez les ordinateurs à partir desquels vous souhaitez transférer les événements.

Astuce professionnelle : en sélectionnant des groupes AD. Par exemple, « Contrôleurs de domaine » auto-remplira les ordinateurs appartenant au groupe. Pas besoin de sélectionner les ordinateurs individuellement à chaque fois que vous ajoutez un nouveau serveur.

3. Ensuite, sélectionnez les événements à transférer. En ouvrant le filtre de requête, comme vous pouvez le voir ci-dessous, sélectionnez « Sécurité » pour transférer les événements du journal des événements de sécurité vers le collecteur.

4. Une fois le journal de sécurité sélectionné, vous pouvez encore le filtrer en entrant l’ID de l’événement, les mots-clés, les utilisateurs et les ordinateurs, comme indiqué ci-dessous.

5. Cliquez sur OK pour quitter le Filtre de requête.

6. Cliquez sur Avancé dans la fenêtre Propriétés de la souscription. Sélectionnez ensuite Minimiser la latence. Ce paramètre garantira que le collecteur recevra les événements dès que possible et l’aidera également à rattraper son retard s’il est en retard.

Vérification de la configuration WEF

Une fois WEF configuré, vous devriez maintenant vérifier si les expéditeurs se sont réellement enregistrés en vérifiant la colonne « Ordinateurs source » sur la page principale des souscriptions.

Vous pouvez également vérifier le journal opérationnel du plug-in de transfert d’événement sous Applications et services sur le client pour vous assurer que tout fonctionne correctement. C’est là que vous verrez les erreurs descriptives si quelque chose s’est mal passé avec Kerberos ou les pare-feu.

Il ne reste plus qu’à trouver un client à faible valeur, effacer le journal de sécurité et voir si vous recevez une alerte.

Vos conclusions

Dans ce projet, vous avez appris comment configurer un abonnement WEF de base. Vous avez:

• Configuré un collecteur d’événements
• Créé une stratégie de groupe pour créer un abonnement sur différents agents de transfert Windows Server
• Configuré un abonnement WEF pour envoyer uniquement des événements spécifiques
• Vous êtes assuré que l’abonnement WEF envoie les événements aussi rapidement que possible

WEF est un peu délicat à configurer au début, mais une fois en place, vous ne devriez pas avoir de problèmes majeurs et de maux de tête de maintenance minimaux.