Efficiënte installatie en configuratie van Windows Event Collector

Handleidingen

Eventlogbeheer is een essentiële vaardigheid om te leren in alle Windows-omgevingen. Activiteit wordt elke seconde vastgelegd in Windows-eventlogs en het fungeert niet alleen als een beveiligingstool, maar ook als een cruciale probleemoplossingshulp. Met een functie genaamd Windows Event Forwarding (WEF) kan Windows gebeurtenissen doorsturen naar de Windows-eventcollector vanaf externe machines.

Overzicht van het doorsturen van Windows Event Logs

WEF is een service waarmee je gebeurtenissen van meerdere Windows-servers kunt doorsturen en op één plek kunt verzamelen. De service heeft twee belangrijke componenten: een doorstuurservice en een collector. Een collector is een service die op een Windows-server draait en alle gebeurtenissen verzamelt die naar deze worden verzonden vanaf een gebeurtenislogboekdoorstuurder.

Gerelateerd:Een complete handleiding voor het gebruik van de Get-WinEvent PowerShell-cmdlet

De “koppeling” tussen de doorstuurserver en een collector wordt een abonnement genoemd.

Collectors fungeren als abonnementsbeheerders die gebeurtenissen accepteren en je in staat stellen te specificeren welke waarschuwingen voor gebeurtenislogboeken je wilt verzamelen vanaf eindpunten.

WEF-projectoverzicht

Dit is een projectartikel waarin we behandelen hoe je een project kunt opzetten of een oplossing kunt implementeren. Elke volgende sectie zal voortbouwen op de voorgaande stappen.

Voor dit project ga je leren hoe je een basis WEF-implementatie opzet. Je leert zowel hoe je een collector opzet als hoe je gebeurtenissen doorstuurt naar een collector met een abonnement.

Je leert hoe je het volgende doet:

  1. Een gebeurtenislogcollector opzetten en configureren op een Windows Server-instantie. Dit zal de Windows Server zijn waarnaar alle gebeurtenislogdoorstuurders gebeurtenissen zullen sturen.
  2. Een GPO maken die, wanneer toegepast, van toepassing zijnde Windows Server-instanties naar de collector zal wijzen om gebeurtenissen naartoe te sturen.
  3. De typen gebeurtenissen configureren die naar de collector moeten worden gestuurd.

Je leert hoe je stap voor stap door elk van deze stappen kunt gaan in de rest van dit artikel.

Omgevings- en kennisvereisten

Voordat je te ver gaat, zorg er eerst voor dat mijn omgeving hetzelfde is als die van jou. Zorg ervoor dat je de volgende items hebt voordat je begint:

  • (2) Windows Server-instanties – Je kunt elke Windows Server-instantie van 2012 R2 of hoger gebruiken. In dit artikel zal ik Windows Server 2016 gebruiken.
  • Active Directory
  • GPO – Je moet vertrouwd zijn met Groepsbeleidsobjecten.
  • WinRM – WinRM moet actief zijn op alle clients. Niet geconfigureerd, alleen actief.

Gerelateerd: Wat is Groepsbeleid en hoe werkt het? (In detail)

Configuratie van de Windows Event Collector

De eerste taak die moet worden uitgevoerd, is het configureren van een van uw Windows Server-instanties als de verzamelaar. Onthoud dat de verzamelaar degene is die inkomende gebeurtenislogboeken ontvangt van de doorstuurder.

Het inschakelen van WinRM op de Windows Event Collector

Windows Server-instanties die gebeurtenissen doorsturen naar de verzamelaar doen dit via PowerShell Remoting of WinRM. U moet er eerst voor zorgen dat WinRM beschikbaar is op uw verzamelaar. Als de verzamelaar Windows Server 2012 R2 of hoger draait, is WinRM standaard ingeschakeld, maar de Windows Firewall kan interfereren.

Voer de Enable-PSRemoting PowerShell cmdlet uit zonder parameters op de verzamelaar. Zelfs als PowerShell Remoting al is ingeschakeld, slaat het de noodzakelijke stappen over.

Om zeker te zijn, kunt u ook Invoke-Command -ComputerName <VERZAMELAARHOSTNAAM> -ScriptBlock {1} uitvoeren vanaf een externe computer. Als u geen foutmelding ontvangt, werkt PowerShell Remoting.

Het starten van de abonnementsverzameldienst

Nu PowerShell Remoting is ingeschakeld en luistert, start de abonnementsverzameldienst. De abonnementsverzameldienst moet ook automatisch starten wanneer Windows Server wordt opgestart.

Op de verzamelaar, open Event Viewer klik op Abonnementen. De eerste keer dat je de optie Abonnementen opent, zal Windows vragen of je de Windows Event Log Collector Service wilt starten en geconfigureerd om automatisch te starten. Klik op Ja om te accepteren.

Je kunt hieronder een voorbeeld van het bericht zien.

Windows Event Collector Service

Gefeliciteerd! Je hebt nu een verzamelaar geconfigureerd. Het is nu tijd om een GPO in te stellen die Windows Server-instanties instrueert om gebeurtenissen naar de verzamelaar door te sturen.

Het instellen van de Forwarders’ GPO

De volgende stap is het configureren van één of meer Windows-servers om gebeurtenislogboeken door te sturen naar de verzamelaar. De eenvoudigste manier om dit te doen is door een GPO te maken. Deze GPO kan vervolgens worden toegepast op één of meer OUs die de servers bevatten waarvan gebeurtenissen moeten worden verzonden.

Je leert de basisprincipes van het instellen van de benodigde instellingen in een GPO in dit Project-artikel. Maar als je een volledig overzicht wilt met alle beschikbare opties, bekijk dan de Microsoft-documentatie.

Het toestaan van de Network Service om gebeurtenislogboeken te lezen

WEF gebruikt het account Network Service om gebeurtenissen te lezen en door te sturen van een doorstuurapparaat naar een verzamelaar. Standaard heeft het Network Service-account geen toegang hiertoe. Je moet eerst deze ACL instellen om dit toe te staan.

Opmerking: Veel van de gebeurtenislogboeken in Windows Server geven de Network Service-account al toegang tot de algemene logboeken zoals Toepassing en Systeem. Maar het account krijgt geen toegang tot het beveiligingslogboek en andere aangepaste logboeken.

Om het Network Service-account toegang te geven tot het lezen van gebeurtenislogboeken op logboekdoorstuurders, kunt u een GPO gebruiken. In dit artikel leert u hoe u het Network Service-account toegang kunt geven tot het beveiligingslogboek. Andere logboeken volgen hetzelfde proces.

1. Begin met het openen van een opdrachtprompt en voer wevtutil gl security uit. Dit geeft verschillende informatie over het beveiligingslogboek. Maar het belangrijkste onderdeel is de channelAccess SDDL.

Hieronder ziet u een voorbeeld van de SDDL die u nodig heeft voor het beveiligingslogboek. De regel channelAccess vertegenwoordigt de machtigingen die zijn ingesteld op het logboek. Kopieer de hieronder gemarkeerde SDDL en sla deze ergens op om later aan een GPO toe te voegen.

channelAccess SDDL

2.  Maak een GPO via de Group Policy Management Console. Navigeer binnen de GPO naar ComputerconfiguratieBeleidAdministratieve sjablonenWindows-onderdelenGebeurtenisdoorsturingConfigureer doelabonnementbeheerder.

3. Stel de waarde in voor de doelabonnementsbeheerder op de WinRM-eindpunt van de verzamelaar. U stelt de Server in op het formaat:

Server=http://<FQDN van de verzamelaar>:5985/wsman/SubscriptionManager/WEC,Refresh=60

Let op het vernieuwingsinterval aan het einde van het eindpunt van de verzamelaar. Het vernieuwingsinterval geeft aan hoe vaak clients moeten controleren of er nieuwe abonnementen beschikbaar zijn.

4. Vervolgens vindt u de SDDL die u eerder hebt gekopieerd van het uitvoeren van wevtutil gl security en plakt u deze in de instelling ComputerconfiguratieBeleidAdministratieve sjablonenWindows-onderdelenGebeurtenislogboekserviceBeveiligingLogboektoegang configureren.

Merk op dat deze SDDL voorrang heeft op alle andere machtigingen die zijn geconfigureerd voor het gebeurtenislogboek.

U kunt hieronder een voorbeeld zien van hoe uw GPO eruit zal zien voor het beveiligingsgebeurtenislogboek.

Configure log access GPO setting

5. Zodra de GPO is gemaakt, kunt u deze koppelen aan een bestaande OU met Windows-servers om gebeurtenislogboeken van te verzenden of een nieuwe OU maken en de GPO koppelen. Elk AD-computeraccount dat u aan deze OU toevoegt, stelt nu een abonnement in op de verzamelaar.

Instellen van een abonnement

Terwijl het configureren van WEF om alle gebeurtenissen voor alle Windows-servers in een Active Directory-domein te verzamelen misschien een goed idee lijkt, is dit niet het geval. U moet selectief zijn en alleen gebeurtenissen doorsturen die voor u belangrijk zijn. Het filteren van het lawaai van wat belangrijk is, is waar WEF zijn echte waarde toont.

Laten we samen aan de slag gaan met het instellen van een abonnement voor het Beveiligingslogboek.

Aangezien je al de GPO hebt aangemaakt en gekoppeld aan een Active Directory OU met de Windows-servers waarvan je gebeurtenissen wilt verzenden, zijn de gebeurtenisbronnen al ingesteld

  1. Op de collector, open de Windows Event Viewer en klik met de rechtermuisknop op Abonnementen en maak vervolgens een abonnement aan.
Creating an event log subscription

2.  Zoals hieronder wordt weergegeven, selecteer de optie Source computer initiated en klik vervolgens op Selecteer Computergroepen. Hier selecteer je de computers waarvan je gebeurtenissen wilt doorsturen.

Setting an event log source

Pro-tip: Selecteer AD-groepen. Bijvoorbeeld “Domeincontrollers” zal automatisch alle computers binnen de groep invullen. Geen noodzaak om elke keer individuele computers te selecteren wanneer je een nieuwe server toevoegt.

3.  Selecteer vervolgens de gebeurtenissen die je wilt doorsturen. Open de queryfilter zoals je hieronder kunt zien en selecteer Beveiliging om gebeurtenissen door te sturen vanuit het Beveiligingslogboek.

Selecting Windows events to forward

4.  Zodra het Beveiligingslogboek is geselecteerd, kun je nog verder filteren door het invoeren van het gebeurtenis-ID, trefwoorden, gebruikers en computers zoals hieronder wordt weergegeven.

Filtering Windows events

5.  Klik op OK om af te sluiten van het Query Filter.

6.  Klik op Geavanceerd in het venster Abonnementseigenschappen. Selecteer nu Minimaliseer latentie. Deze instelling zorgt ervoor dat de collector gebeurtenissen zo snel mogelijk ontvangt en helpt ook om bij te blijven als deze achterloopt.

Setting Minimize Latency

Verifying the WEF Configuration

Nadat WEF is ingesteld, moet je controleren of de forwarders zijn ingecheckt door de kolom Source Computers op de hoofdpagina Abonnementen te controleren.

Event Log subscriptions

U kunt ook de operationele logboeken van de Event Forwarding Plugin controleren onder Toepassingen en Services op de client om er zeker van te zijn dat alles werkt. Hier ziet u gedetailleerde foutmeldingen als er iets mis is gegaan met Kerberos of firewalls.

EventLog-ForwardingPlugin event

Alles wat nog rest, is het vinden van een client met een lage waarde, het wissen van het beveiligingslogboek en kijken of u een waarschuwing krijgt.

Uw leerpunten

In dit project hebt u geleerd hoe u een basis-WEF-abonnement kunt instellen. U:

  • Hebt een gebeurtenisverzamelaar ingesteld
  • Hebt een GPO gemaakt om een abonnement op verschillende Windows Server doorstuurservers te maken
  • Hebt een WEF-abonnement geconfigureerd om alleen specifieke gebeurtenissen te verzenden
  • Hebt ervoor gezorgd dat het WEF-abonnement gebeurtenissen zo snel mogelijk verzendt

WEF is in het begin een beetje lastig om te configureren, maar eenmaal operationeel zult u weinig problemen en minimale onderhoudskwesties hebben.

Source:
https://adamtheautomator.com/windows-event-collector/