Configuração e Instalação Eficientes do Coletor de Eventos do Windows

Tutoriais

O gerenciamento de log de eventos é uma habilidade crítica a ser aprendida em todos os ambientes Windows. A atividade está sendo registrada nos logs de eventos do Windows a cada segundo, e isso atua não apenas como uma ferramenta de segurança, mas também como um auxílio vital para solução de problemas. Com um recurso chamado Encaminhamento de Eventos do Windows (WEF), o Windows pode enviar eventos para o coletor de eventos do Windows a partir de máquinas remotas.

Visão Geral do Encaminhamento de Logs de Eventos do Windows

O WEF é um serviço que permite encaminhar eventos de vários servidores Windows e coletá-los em um único local. O serviço possui dois componentes principais: um encaminhador e um coletor. Um coletor é um serviço em execução em um servidor Windows que coleta todos os eventos enviados a ele por um encaminhador de log de eventos.

Relacionado:Um Guia Completo para Usar o Cmdlet PowerShell Get-WinEvent

A “ligação” entre o servidor de encaminhamento e um coletor é conhecida como uma assinatura.

Os coletores atuam como gerenciadores de assinaturas que aceitam eventos e permitem que você especifique quais alertas de log de eventos coletar nos pontos finais.

Visão Geral do Projeto WEF

Este é um artigo de projeto onde abordamos como construir um projeto ou implementar uma solução. Cada seção a seguir será composta por etapas cumulativas que se baseiam nas anteriores.

Para este projeto, você vai aprender como configurar uma implementação básica do WEF. Você aprenderá como configurar tanto um coletor quanto como encaminhar eventos para um coletor com uma assinatura.

Você aprenderá como:

  1. Configurar e configurar um coletor de logs de eventos em uma instância do Windows Server. Este será o Windows Server para o qual todos os encaminhadores de logs de eventos enviarão eventos.
  2. Criar uma GPO que, quando aplicada, apontará instâncias aplicáveis do Windows Server para o coletor para enviar eventos.
  3. Configurar os tipos de eventos a serem enviados para o coletor.

Você aprenderá como trabalhar através de cada etapa no restante deste artigo.

Requisitos de Ambiente e Conhecimento

Antes de prosseguir muito, vamos primeiro garantir que meu ambiente seja o mesmo que o seu. Certifique-se de ter os seguintes itens no lugar antes de começar:

  • (2) instâncias do Windows Server – Você pode usar qualquer instância do Windows Server de 2012 R2 ou superior. Neste artigo, estarei usando o Windows Server 2016.
  • Active Directory
  • GPO – É necessária familiaridade com Objetos de Diretiva de Grupo.
  • WinRM – WinRM precisa estar em execução em todos os clientes. Não configurado, apenas em execução.

Relacionado: O que é a Política de Grupo e Como Funciona? (Em Detalhes)

Configurando o Coletor de Eventos do Windows

A primeira tarefa a ser realizada é configurar uma de suas instâncias do Windows Server como o coletor. Lembre-se de que o coletor é quem recebe os registros de eventos recebidos do encaminhador.

Habilitando o WinRM no Coletor de Eventos do Windows

As instâncias do Windows Server que encaminham eventos para o coletor o fazem através de Remoção do PowerShell ou WinRM. Primeiro, você precisará garantir que o WinRM esteja disponível no seu coletor. Se o coletor estiver executando o Windows Server 2012 R2 ou superior, o WinRM estará ativado por padrão, mas o Firewall do Windows pode estar interferindo.

Execute o cmdlet do PowerShell Enable-PSRemoting sem parâmetros no coletor. Mesmo que Remoção do PowerShell já esteja habilitada, ele irá pular as etapas necessárias.

Para ter certeza, você também pode executar Invoke-Command -ComputerName <NOMEDOHOSTDOCOLETOR> -ScriptBlock {1} de um computador remoto. Se não receber um erro, a Remoção do PowerShell está funcionando.

Iniciando o Serviço Coletor de Assinaturas

Agora que a Remoção do PowerShell está ativada e ouvindo, inicie o serviço coletor de assinaturas. O serviço coletor de assinaturas também precisa iniciar automaticamente quando o Windows Server é iniciado.

No coletor, abra o Visualizador de Eventos, clique em Inscrições. Na primeira vez que você abrir a opção Inscrições, o Windows perguntará se deseja iniciar o Serviço de Coletor de Log de Eventos do Windows e configurá-lo para iniciar automaticamente. Clique em Sim para aceitar.

Você pode ver um exemplo da mensagem abaixo.

Windows Event Collector Service

Parabéns! Agora você possui um coletor configurado. É hora de configurar um GPO que instruirá as instâncias do Windows Server a encaminhar eventos para o coletor.

Configurando o GPO dos Encaminhadores

O próximo passo é configurar um ou mais servidores Windows para começar a encaminhar logs de eventos para o coletor. A maneira mais fácil de fazer isso é criando um GPO. Este GPO pode então ser aplicado a uma ou mais UOs que contenham os servidores para enviar eventos.

Você aprenderá o básico de configurar as configurações necessárias em um GPO neste artigo do projeto. Mas se você quiser um resumo completo com todas as opções disponíveis, confira a documentação da Microsoft.

Permitindo que o Serviço de Rede Leia Registros de Eventos

WEF usa a conta Serviço de Rede para ler e enviar eventos de um encaminhador para um coletor. Por padrão, a conta de Serviço de Rede não tem acesso para fazer isso. Primeiro, você precisará definir esta ACL para permitir.

Nota: Muitos dos logs de eventos no Windows Server já fornecem acesso da conta de Serviço de Rede aos logs de eventos comuns, como Aplicativo e Sistema. Mas a conta não recebe acesso ao log de eventos de Segurança e outros logs de eventos personalizados.

Para permitir que a conta de Serviço de Rede leia logs de eventos em encaminhadores de logs de eventos, use uma GPO. Neste artigo, você aprenderá como permitir o acesso da conta de Serviço de Rede ao log de eventos de Segurança. Outros logs de eventos seguirão o mesmo processo.

1. Comece abrindo um prompt de comando e executando wevtutil gl security. Isso fornecerá várias informações sobre o log de eventos de Segurança. Mas o ponto a ser observado é o channelAccess SDDL.

Você pode ver abaixo um exemplo do SDDL que você precisará para o log de eventos de Segurança. A linha channelAccess representa as permissões definidas no log de eventos. Copie o SDDL destacado abaixo e salve-o em algum lugar para mais tarde adicioná-lo a uma GPO.

channelAccess SDDL

2.  Crie uma GPO através do Console de Gerenciamento de Política de Grupo. Dentro da GPO, navegue até Configuração do ComputadorPolíticasModelos AdministrativosComponentes do WindowsEncaminhamento de EventosConfigurar gerenciador de assinatura de destino.

3. Configure o valor para o gerenciador de assinaturas de destino para o ponto de extremidade WinRM no coletor. Você irá definir o Servidor para estar no formato:

Server=http://<FQDN do coletor>:5985/wsman/SubscriptionManager/WEC,Refresh=60

Observe o intervalo de atualização no final do ponto de extremidade do coletor. O intervalo de atualização indica com que frequência os clientes devem verificar se há novas assinaturas disponíveis.

4. Em seguida, encontre o SDDL que você copiou anteriormente ao executar wevtutil gl security e cole-o na configuração Configuração do ComputadorPolíticasModelos AdministrativosComponentes do WindowsServiço de Log de EventosSegurançaConfigurar acesso ao log.

Observe que este SDDL terá precedência sobre todas as outras permissões que foram configuradas para o log de eventos.

Você pode ver um exemplo de como será sua GPO abaixo para o log de eventos de segurança.

Configure log access GPO setting

5. Uma vez criada a GPO, você então vinculará esta GPO a uma OU existente que contenha os servidores Windows para enviar logs de eventos ou criará uma nova OU e vinculará a GPO. Qualquer conta de computador AD que você adicionar a esta OU agora configurará uma assinatura para o coletor.

Configurando uma Assinatura

Ao configurar o WEF para coletar todos os eventos de todos os servidores Windows em um domínio do Active Directory pode parecer uma boa ideia, mas não é. Você deve ser seletivo e apenas encaminhar eventos que são importantes para você. Filtrar o ruído do que importa é onde o WEF demonstra seu verdadeiro valor.

Vamos trabalhar na configuração de uma assinatura para o log de eventos de segurança.

Como você já criou a GPO e a vinculou a uma OU do Active Directory contendo os servidores Windows dos quais deseja enviar eventos, as fontes de eventos já estão configuradas

  1. No coletor, abra o Visualizador de Eventos do Windows e clique com o botão direito em Assinaturas, em seguida, criar assinatura.
Creating an event log subscription

2. Como mostrado abaixo, selecione a opção Iniciado pelo computador de origem e clique em Selecionar Grupos de Computadores. Aqui você selecionará de quais computadores deseja encaminhar eventos.

Setting an event log source

Dica profissional: Selecionar Grupos AD. Ex: “Controladores de Domínio” autopreencherá quaisquer computadores dentro do grupo. Não é necessário selecionar computadores individuais sempre que adicionar um novo servidor.

3. Em seguida, selecione os eventos a serem encaminhados. Ao abrir o filtro de consulta, como mostrado abaixo, selecione Segurança para encaminhar eventos para o coletor a partir do log de eventos de segurança.

Selecting Windows events to forward

4. Uma vez selecionado o log de Segurança, é possível filtrar ainda mais inserindo o ID do evento, palavras-chave, usuários e computadores, como mostrado abaixo.

Filtering Windows events

5. Clique em OK para sair do Filtro de Consulta.

6. Clique em Avançado na janela de Propriedades da Assinatura. Agora selecione Minimizar Latência. Essa configuração garantirá que o coletor receba eventos o mais rápido possível e também ajude a recuperar o atraso, se necessário.

Setting Minimize Latency

Verificando a Configuração do WEF

Depois de configurar o WEF, verifique se os encaminhadores realmente realizaram check-in, verificando a coluna Computadores de Origem na página principal de Assinaturas.

Event Log subscriptions

Você também pode verificar o log operacional do Plugin de Encaminhamento de Eventos em Aplicações e Serviços no cliente para garantir que tudo esteja funcionando. Aqui é onde você verá erros descritivos se algo der errado com o Kerberos ou firewalls.

EventLog-ForwardingPlugin event

Tudo o que resta é encontrar um cliente de baixo valor, limpar o log de segurança e ver se você recebe um alerta.

Seus pontos-chave

Neste projeto, você aprendeu como configurar uma assinatura básica no WEF. Você:

  • Configurou um coletor de eventos
  • Criou uma Política de Grupo para criar uma assinatura em vários encaminhadores do Windows Server
  • Configurou uma assinatura WEF para enviar apenas eventos específicos
  • Garantiu que a assinatura WEF enviasse eventos o mais rápido possível

O WEF pode ser um pouco complicado de configurar inicialmente, mas uma vez em funcionamento, você deve ter poucos problemas e mínimas dores de cabeça de manutenção.

Source:
https://adamtheautomator.com/windows-event-collector/