Эффективная настройка и конфигурация сборщика событий Windows

Управление журналом событий – это критически важный навык, который нужно освоить во всех средах Windows. Активность записывается в журналы событий Windows каждую секунду, и он является не только инструментом безопасности, но и важным помощником в устранении неполадок. С помощью функции Windows Event Forwarding (WEF) Windows может отправлять события на коллектор событий Windows с удаленных машин.

Обзор пересылки журнала событий Windows

WEF – это служба, которая позволяет пересылать события с нескольких серверов Windows и собирать их в одном месте. Служба имеет два основных компонента: пересылатель и коллектор. Коллектор – это служба, работающая на сервере Windows, которая собирает все события, отправленные на нее пересылателем журнала событий.

Связанный материал:Полное руководство по использованию командлета PowerShell Get-WinEvent

“Связь” между сервером пересылки и коллектором известна как подписка.

Коллекторы служат в качестве менеджеров подписок, принимают события и позволяют указать, какие предупреждения из журналов событий собирать с конечных точек.

Обзор проекта WEF

Это статья о проекте, в которой мы рассмотрим, как создать проект или реализовать решение. Каждый раздел будет накапливать шаги, основанные на предыдущих.

Для этого проекта вы узнаете, как настроить базовую реализацию WEF. Вы узнаете, как настроить как сборщик, так и как пересылать события на сборщик с подпиской.

Вы узнаете, как:

1. Настроить и сконфигурировать сборщик журналов событий на экземпляре сервера Windows. Это будет сервер Windows, на который все пересыльщики журналов событий будут отправлять события.
2. Создать GPO, который, когда применен, будет направлять соответствующие экземпляры сервера Windows на сборщик для отправки событий.
3. Настроить типы событий для отправки на сборщик.

Вы узнаете, как пройти через каждый шаг в оставшейся части этой статьи.

Требования к среде и знаниям

Прежде чем начать, давайте сначала убедимся, что моя среда такая же, как и ваша. Пожалуйста, убедитесь, что у вас есть следующие элементы перед началом:

• (2) Экземпляра сервера Windows – Вы можете использовать любой экземпляр сервера Windows 2012 R2 или более поздней версии. В этой статье я буду использовать Windows Server 2016.
• Active Directory
• GPO – Потребуется знакомство с объектами групповой политики.
• WinRM – WinRM должен работать на всех клиентах. Не сконфигурировано, только запущено.

Связанные: Что такое групповая политика и как она работает? (Подробно)

Настройка сборщика событий Windows

Первая задача — настроить один из экземпляров вашего сервера Windows в качестве коллектора. Напомним, что коллектор получает входящие журналы событий от пересыльщика.

Включение WinRM на коллекторе событий Windows

Экземпляры сервера Windows, пересылающие события на коллектор, делают это с помощью PowerShell Remoting или WinRM. Сначала вам нужно убедиться, что WinRM доступен на вашем коллекторе. Если коллектор работает на Windows Server 2012 R2 и выше, WinRM включен по умолчанию, но могут возникать проблемы с брандмауэром Windows.

Запустите командлет PowerShell Enable-PSRemoting без параметров на коллекторе. Даже если PowerShell Remoting уже включен, он пропустит необходимые шаги.

Чтобы убедиться, вы также можете запустить команду Invoke-Command -ComputerName <COLLECTORHOSTNAME> -ScriptBlock {1} с удаленного компьютера. Если вы не получаете ошибку, PowerShell Remoting работает.

Запуск службы сборщика подписок

Теперь, когда PowerShell Remoting включен и работает, запустите службу сборщика подписок. Служба сборщика подписок также должна автоматически запускаться при загрузке Windows Server.

На коллекторе откройте Просмотр событий, щелкните Подписки. Первый раз, когда вы откроете опцию Подписки, Windows спросит, хотите ли вы запустить Службу сбора журнала событий Windows и настроить ее на автоматический запуск. Щелкните Да, чтобы принять.

Вы можете увидеть пример сообщения ниже.

Поздравляем! Теперь у вас настроен коллектор. Теперь настало время настроить GPO, который будет указывать экземплярам Windows Server пересылать события на коллектор.

Настройка GPO для пересылки

Следующим шагом является настройка одного или нескольких серверов Windows для начала пересылки журналов событий на коллектор. Самый простой способ сделать это – создать GPO. Затем этот GPO можно применить к одному или нескольким организационным единицам, которые содержат серверы для отправки событий.

Вы узнаете основы настройки необходимых параметров в GPO в этой статье проекта. Но если вы хотите полный обзор со всеми доступными опциями, ознакомьтесь с документацией Microsoft.

Разрешение Network Service на чтение журналов событий

WEF использует учетную запись Сетевая служба для чтения и отправки событий от пересылщика к коллектору. По умолчанию учетная запись Сетевая служба не имеет доступа к этому. Сначала вам нужно установить этот ACL, чтобы разрешить это.

Примечание: Многие журналы событий в операционной системе Windows Server уже предоставляют учетной записи Network Service доступ к общим журналам событий, таким как “Application” и “System”. Однако учетной записи не предоставлен доступ к журналу событий безопасности и другим настраиваемым журналам событий.

Чтобы разрешить учетной записи Network Service читать журналы событий на серверах пересылки журналов событий, используйте GPO. В этой статье вы узнаете, как предоставить учетной записи Network Service доступ к журналу событий безопасности. Для других журналов событий следуйте тому же процессу.

1. Начните с открытия командной строки и выполнения команды wevtutil gl security. Это предоставит различную информацию о журнале событий безопасности. Однако обратите внимание на channelAccess и SDDL – это ключевые моменты.

Ниже приведен пример SDDL, который вам понадобится для журнала событий безопасности. Строка channelAccess представляет собой разрешения, установленные для журнала событий. Скопируйте SDDL, выделенный ниже, и сохраните его в каком-то месте, чтобы позже добавить в GPO.

2. Создайте GPO через консоль управления групповой политикой. Внутри GPO перейдите в Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Пересылка событий → Настроить менеджер целевых подписок.

3. Установите значение для целевого менеджера подписок на конечную точку WinRM на коллекторе. Вы установите сервер в формате:

Server=http://<FQDN коллектора>:5985/wsman/SubscriptionManager/WEC,Refresh=60

Обратите внимание на интервал обновления в конце конечной точки коллектора. Интервал обновления указывает, как часто клиенты должны проверять наличие новых подписок.

4. Затем найдите SDDL, скопированный ранее из выполнения wevtutil gl security, и вставьте его в параметр Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Служба журнала событий → Безопасность → Настроить доступ к журналу.

Обратите внимание, что эта SDDL будет иметь преимущество перед всеми другими разрешениями, настроенными для журнала событий.

Вы можете увидеть пример того, как будет выглядеть ваша GPO для журнала событий безопасности ниже.

5. Как только GPO будет создан, вы либо свяжете этот GPO с существующим OU, содержащим серверы Windows для отправки журналов событий, либо создадите новый OU и свяжете с GPO. Любая учетная запись компьютера AD, добавленная в этот OU, теперь настроит подписку на коллектор.

Настройка подписки

Хотя настройка WEF для сбора всех событий для всех серверов Windows в домене Active Directory может показаться хорошей идеей, это не так. Вы должны быть выборочными и передавать только те события, которые важны для вас. Фильтрация шума от того, что важно, – в этом заключается истинная ценность WEF.

Давайте приступим к настройке подписки на журнал безопасности.

Поскольку вы уже создали GPO и связали его с контейнером Active Directory OU, содержащим серверы Windows, с которых вы хотите отправлять события, источники событий уже настроены

1. На сборщике откройте Просмотр событий Windows, щелкните правой кнопкой мыши на Подписки, затем создайте подписку.

2.  Как показано ниже, выберите опцию Инициированный компьютером источник, а затем нажмите Выбрать группы компьютеров. Здесь вы выберете компьютеры, с которых вы хотите пересылать события.

Совет профессионала: Выбор групп AD. Пример: «Контроллеры домена» автоматически заполнит любые компьютеры в группе. Нет нужды выбирать отдельные компьютеры каждый раз, когда вы добавляете новый сервер.

3.  Затем выберите события для пересылки. Открыв фильтр запроса, как показано ниже, выберите «Безопасность», чтобы пересылать события на сборщик из журнала безопасности.

4.  После выбора журнала безопасности вы можете еще больше отфильтровать события, указав идентификатор события, ключевые слова, пользователей и компьютеры, как показано ниже.

5.  Нажмите ОК, чтобы закрыть Фильтр запроса.

6.  В окне Свойства подписки щелкните Дополнительно. Затем выберите Минимизировать задержку. Эта настройка гарантирует, что сборщик получит события как можно скорее и поможет ему нагнать упущенное время, если он отстает.

Проверка конфигурации WEF

После настройки WEF вы должны проверить, действительно ли пересыльщики зарегистрировались, проверив столбец Источники компьютеров на главной странице Подписок.

Вы также можете проверить операционный журнал работы плагина пересылки событий в разделе Приложения и Службы на клиенте, чтобы убедиться, что все работает. Именно здесь вы увидите описания ошибок, если что-то пошло не так с Kerberos или брандмауэрами.

Все, что осталось сделать, это найти клиента с низкой стоимостью, очистить журнал безопасности и посмотреть, получите ли вы предупреждение.

Ваши выводы

В этом проекте вы узнали, как настроить базовую подписку WEF. Вы:

• Настроили коллектор событий
• Создали GPO для создания подписки на различных пересыльных серверах Windows
• Настроили подписку WEF для отправки только определенных событий
• Обеспечили отправку событий подписки WEF максимально быстро

WEF немного сложно настроить в начале, но после запуска у вас должны быть маленькие проблемы и минимальные головные боли по обслуживанию.