Efficiente Configurazione e Installazione del Collettore Eventi di Windows

Tutorial

La gestione dei log degli eventi è una competenza fondamentale da apprendere in tutti gli ambienti Windows. L’attività viene registrata nei log degli eventi di Windows ogni secondo e agisce non solo come strumento di sicurezza, ma anche come un aiuto fondamentale per la risoluzione dei problemi. Con una funzionalità chiamata Windows Event Forwarding (WEF), Windows può inviare eventi al raccoglitore di eventi di Windows da macchine remote.

Panoramica sulla trasmissione dei log degli eventi di Windows

WEF è un servizio che consente di inoltrare eventi da più server Windows e raccoglierli in un unico punto. Il servizio è composto da due componenti principali: un inoltratore e un raccoglitore. Un raccoglitore è un servizio in esecuzione su un server Windows che raccoglie tutti gli eventi inviati ad esso da un inoltratore dei log degli eventi.

Collegato:Guida completa all’uso del cmdlet PowerShell Get-WinEvent

Il “collegamento” tra il server di inoltro e un raccoglitore è noto come sottoscrizione.

I raccoglitori fungono da gestori di sottoscrizione che accettano eventi e consentono di specificare quali avvisi dei log degli eventi raccogliere dagli endpoint.

Panoramica del progetto WEF

Questo è un articolo sul progetto in cui spieghiamo come creare un progetto o implementare una soluzione. Ogni sezione successiva sarà costituita da passaggi cumulativi che si basano sui precedenti.

Per questo progetto, imparerai come configurare una implementazione di base del Windows Event Forwarding (WEF). Imparerai come impostare sia un raccoglitore che come inoltrare gli eventi a un raccoglitore tramite una sottoscrizione.

Imparerai come:

  1. Configurare e impostare un raccoglitore di eventi di registro su un’istanza di Windows Server. Questo sarà il server di Windows a cui tutti i dispositivi inoltreranno gli eventi di registro.
  2. Creare una GPO che, una volta applicata, indirizzerà le istanze di Windows Server pertinenti al raccoglitore per l’invio degli eventi.
  3. Configurare i tipi di eventi da inviare al raccoglitore.

Nel resto di questo articolo, ti illustrerò passo dopo passo come procedere.

Requisiti ambientali e di conoscenza

Prima di iniziare, assicuriamoci di avere lo stesso ambiente. Assicurati di avere i seguenti elementi prima di cominciare:

  • (2) Istanze di Windows Server – Puoi utilizzare qualsiasi istanza di Windows Server 2012 R2 o successiva. In questo articolo, userò Windows Server 2016.
  • Active Directory
  • GPO – Sarà necessaria familiarità con gli Oggetti di Group Policy.
  • WinRM – WinRM deve essere in esecuzione su tutti i client. Non configurato, solo in esecuzione.

Articolo correlato: Cos’è Group Policy e come funziona? (In dettaglio)

Configurazione del raccoglitore di eventi di Windows.

Il primo compito da eseguire è configurare una delle istanze del tuo server Windows come raccoglitore. Ricorda che il raccoglitore è colui che riceve i log degli eventi in arrivo dal trasmettitore.

Abilitazione di WinRM sul raccoglitore degli eventi di Windows

Le istanze del server Windows che inoltrano gli eventi al raccoglitore lo fanno tramite il remoting di PowerShell o WinRM. Dovrai prima assicurarti che WinRM sia disponibile sul raccoglitore. Se il raccoglitore sta eseguendo Windows Server 2012 R2 o versioni successive, WinRM è abilitato per impostazione predefinita, ma il firewall di Windows potrebbe interferire.

Esegui il cmdlet PowerShell Enable-PSRemoting senza parametri sul raccoglitore. Anche se PowerShell Remoting è già abilitato, verranno saltati i passaggi necessari.

Per essere sicuri, puoi anche eseguire Invoke-Command -ComputerName <NOMERACCOGLITORE> -ScriptBlock {1} da un computer remoto. Se non ricevi un errore, PowerShell Remoting funziona.

Avvio del servizio del raccoglitore delle sottoscrizioni

Ora che PowerShell Remoting è abilitato e in ascolto, avvia il servizio del raccoglitore delle sottoscrizioni. Il servizio del raccoglitore delle sottoscrizioni deve anche avviarsi automaticamente all’avvio di Windows Server.

Sul collector, apri Event Viewer clicca su Abbonamenti. La prima volta che apri l’opzione Abbonamenti, Windows chiederà se vuoi avviare il servizio di raccolta log eventi di Windows e configurarlo per avviarsi automaticamente. Clicca su per accettare.

Puoi vedere un esempio del messaggio qui sotto.

Windows Event Collector Service

Congratulazioni! Hai ora configurato un collector. Ora è il momento di impostare una GPO che istruirà le istanze di Windows Server a inoltrare gli eventi al collector.

Impostazione della GPO per i forwarder

Il passo successivo è configurare uno o più server Windows per iniziare a inoltrare i log eventi al collector. Il modo più semplice per farlo è creare una GPO. Questa GPO può quindi essere applicata a una o più OU che contengono i server da cui inviare gli eventi.

Imparerai le basi per impostare le impostazioni necessarie in una GPO in questo articolo del progetto. Ma se desideri una panoramica completa con tutte le opzioni disponibili, consulta la documentazione Microsoft.

Consentire al servizio di rete di leggere i log eventi

WEF utilizza l’account Network Service per leggere e inviare eventi da un forwarder a un collector. Per impostazione predefinita, l’account Network Service non ha accesso a farlo. Prima dovrai impostare questa ACL per consentirlo.

Nota: Molti dei log degli eventi in Windows Server già forniscono all’account Network Service l’accesso ai log degli eventi comuni come Applicazione e Sistema. Ma l’account non ha accesso al log degli eventi di Sicurezza e ad altri log degli eventi personalizzati.

Per consentire all’account Network Service di leggere i log degli eventi sui forwarder dei log degli eventi, utilizzare una GPO. In questo articolo, imparerai come consentire all’account Network Service l’accesso al log degli eventi di Sicurezza. Gli altri log degli eventi seguiranno lo stesso processo.

1. Inizia aprendo un prompt dei comandi e esegui il comando wevtutil gl security. Questo fornirà varie informazioni sul log degli eventi di Sicurezza. Ma la parte a cui prestare attenzione è l’accessoCanale SDDL.

Puoi vedere di seguito un esempio dell’SDDL di cui avrai bisogno per il log degli eventi di Sicurezza. La riga accessoCanale rappresenta i permessi impostati sul log degli eventi. Copia l’SDDL evidenziato di seguito e salvalo da qualche parte per aggiungerlo successivamente a una GPO.

channelAccess SDDL

2.  Crea una GPO tramite la Console di gestione delle policy di gruppo. All’interno della GPO, vai a Configurazione computerPolicyModelli amministrativiComponenti WindowsInoltro eventiConfigura il gestore di sottoscrizioni di destinazione.

3. Imposta il valore per il gestore delle sottoscrizioni di destinazione sull’endpoint WinRM del raccoglitore. Imposterai il Server nel seguente formato:

Server=http://<FQDN del raccoglitore>:5985/wsman/SubscriptionManager/WEC,Refresh=60

Nota l’intervallo di aggiornamento alla fine dell’endpoint del raccoglitore. L’intervallo di aggiornamento indica con quale frequenza i client devono controllare se sono disponibili nuove sottoscrizioni.

4. Successivamente, trova la SDDL che hai copiato in precedenza eseguendo il comando wevtutil gl security e incollala nell’impostazione Configurazione computerImpostazioniModelli amministrativiComponenti di WindowsServizio registro eventiSicurezzaConfigura accesso al registro.

Nota che questa SDDL avrà la precedenza su tutte le altre autorizzazioni che sono state configurate per il registro eventi.

Puoi vedere un esempio di come apparirà la tua GPO per il registro eventi di sicurezza di seguito.

Configure log access GPO setting

5. Una volta creata la GPO, dovrai collegarla a un’OU esistente contenente i server Windows da cui inviare i log degli eventi o creare una nuova OU e collegarvi la GPO. Ogni account computer di AD che aggiungi a questa OU creerà ora una sottoscrizione al raccoglitore.

Configurazione di una sottoscrizione

Pur configurando WEF per raccogliere tutti gli eventi per tutti i server Windows in un dominio Active Directory può sembrare una buona idea, non lo è. Devi essere selettivo e inviare solo gli eventi che sono importanti per te. Filtrare il rumore da ciò che conta è dove WEF dimostra il suo vero valore.

Lavoriamo insieme per impostare una sottoscrizione per il registro eventi di sicurezza.

Poiché hai già creato la GPO e l’hai collegata a un’OU di Active Directory contenente i server Windows da cui desideri inviare eventi, le origini degli eventi sono già configurate.

  1. Sul computer di raccolta, apri il Visualizzatore eventi di Windows, fai clic con il pulsante destro del mouse su Sottoscrizioni e quindi crea una sottoscrizione.
Creating an event log subscription

2. Come mostrato di seguito, seleziona l’opzione Iniziativa del computer di origine e quindi fai clic su Seleziona gruppi di computer. Qui selezionerai da quali computer desideri inoltrare gli eventi.

Setting an event log source

Suggerimento professionale: selezionando i gruppi di AD. Ad esempio, “Domain Controllers” popolerà automaticamente tutti i computer del gruppo. Non è necessario selezionare singoli computer ogni volta che aggiungi un nuovo server.

3. Successivamente, seleziona gli eventi da inoltrare. Apri il filtro di query come mostrato di seguito, seleziona Sicurezza per inoltrare gli eventi dal registro eventi di sicurezza al computer di raccolta.

Selecting Windows events to forward

4. Una volta selezionato il registro di sicurezza, puoi filtrare ulteriormente inserendo l’ID dell’evento, le parole chiave, gli utenti e i computer come mostrato di seguito.

Filtering Windows events

5. Fai clic su OK per uscire dal Filtro di query.

6. Fai clic su Avanzate nella finestra Proprietà della sottoscrizione. Seleziona ora Minimizza latenza. Questa impostazione garantirà che il computer di raccolta riceva gli eventi il prima possibile e aiuterà anche a recuperare se si accumula un ritardo.

Setting Minimize Latency

Verifica della configurazione di WEF.

Dopo aver configurato WEF, dovresti controllare se i trasmettitori effettivamente si sono registrati controllando la colonna Computer di origine nella pagina principale delle sottoscrizioni.

Event Log subscriptions

Puoi anche controllare il log operativo del plugin di inoltro degli eventi in Applicazioni e servizi sul client per assicurarti che tutto funzioni correttamente. Qui vedrai gli errori descrittivi se qualcosa è andato storto con Kerberos o i firewall.

EventLog-ForwardingPlugin event

Tutto ciò che resta da fare è trovare un client a basso valore, cancellare il log di sicurezza e vedere se ricevi un avviso.

Le tue Conclusioni

In questo progetto, hai imparato come configurare una sottoscrizione WEF di base. Tu:

  • Hai configurato un raccoglitore di eventi
  • Hai creato un GPO per creare una sottoscrizione su vari forwarder di Windows Server
  • Hai configurato una sottoscrizione WEF per inviare solo eventi specifici
  • Ti sei assicurato che la sottoscrizione WEF invii gli eventi il più velocemente possibile

WEF è un po’ complicato da configurare inizialmente, ma una volta avviato, dovresti avere pochi problemi e poche complicazioni nella manutenzione.

Source:
https://adamtheautomator.com/windows-event-collector/