Всем привет, мы снова встретились, я ваш друг Цюаньчжаньцзюнь.

Обзор

Просмотр событий (eventvwr.msc)

Windows в основном имеет следующие три типа журналов для записи системных событий: системные журналы, журналы приложений и журналы безопасности.

В системных журналах фиксируются события, генерируемые компонентами операционной системы, включая сбои драйверов, системных компонентов и прикладного программного обеспечения, а также ошибки потери данных. Типы времени, записываемые в системный журнал, предопределены операционной системой Windows NT/2000. Местоположение по умолчанию: %SystemRoot%\System32\Winevt\Logs\System.evtx.

Журнал приложения содержит события, записываемые приложениями или системными программами, в основном записывающие события, связанные с работой программы. Например, программа базы данных может записывать ошибки файлов в журнал приложения. Разработчики программы могут решать, какие события отслеживать. В случае сбоя приложения мы можем найти соответствующую запись в журнале событий программы, что может помочь вам решить проблему. Местоположение по умолчанию: %SystemRoot%\System32\Winevt\Logs\Application.evtx.

В журналах безопасности регистрируются события аудита безопасности системы, включая различные типы журналов входа в систему, журналы доступа к объектам, журналы отслеживания процессов, использование привилегий, управление учетными записями, изменения политик и системные события. Журналы безопасности также наиболее часто используются при расследовании и сборе доказательств. По умолчанию журнал безопасности отключен. Администраторы могут использовать групповую политику, чтобы включить журнал безопасности, или установить политики аудита в реестре, чтобы система переставала отвечать при заполнении журнала безопасности. Местоположение по умолчанию: %SystemRoot%\System32\Winevt\Logs\Security.evtx.

Конфигурация среды Windows WEF

Пересылка событий Windows включена в Windows 2008 и в основном используется для централизованного сбора и сброса журналов. Она имеет множество преимуществ.

Условия эксплуатации

Узел сбора журналов в контроллере домена （server конец);
Любой из них необходимо отправить на узел центра регистрации и хост в домене. （client конец);
Пользователь с правами администратора управления доменом;
Client Разрешение учетной записи на чтение журнала терминала необходимо для открытия сети. services власть;
Включите удаленное управление Windows (WinRM) на стороне сервера и разрешите получателю читать события на исходном сервере. Разрешение на вход.
Брандмауэр добавляет в белый список порты 5985/5986 внутри домена для передачи журналов.

Моя среда: имя клиентского ПК — AD, а имя серверного ПК — tony-PC.

Не уверен, необходим ли следующий шаг (я его настроил):

Существует два способа пересылки журналов в Windows:

Коллектор запущен;

Исходный компьютер запускается.

Автор протестировал только второй способ: исходный компьютер запущен. Преимущество в том, что вам нужно только разрешить доступ с контроллера домена к сборщику без добавления учетной записи в контроллере домена. Если угроза безопасности возникает на стороне сбора данных, если брандмауэр настроен правильно, это не повлияет на управление доменом.

Метод настройки

отправитель журнала клиента

сборщик журналов сервера

Конфигурация клиента

1. Запрос и добавление разрешений журнала безопасности клиента.

Запустите следующую команду с правами администратора:

wevtutil gl security

Эта команда используется для проверки того, разрешает ли разрешение на чтение журнала безопасности чтение сетевой службе.

Возвращенное содержимое должно быть следующим, тогда конфигурация успешна:

PS C:Windowssystem32>  wevtutil gl security
...
channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;NS)

Если оно отсутствует (A;;0x1;;;NS), это означает, что разрешение сетевой службы не добавляется в запись журнала безопасности. Его необходимо добавить отдельно и добавить дополнительные разрешения сетевых служб.

Добавьте сетевое разрешение журнала безопасности клиента:

Групповая политика (gpedit.msc) -> конфигурация компьютера -> Административные шаблоны -> windows компоненты -> сервер журнала событий -> Безопасность-> Настроить доступ к журналу

Затем дважды щелкните мышью, выберите «Включено» и добавьте значение в wevtutil gl Security и (A;;0x1;;;NS) в элемент конфигурации, например:

O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;NS)

(Некоторые люди также называют Групповую политика (gpedit.msc) -> конфигурация компьютера -> Административные шаблоны -> windows компоненты -> сервер журнала событий -> Безопасность-> Настроить доступ к журналу(Старая версия)вместе Конфигурацияв верхизценить,Малое влияние,необязательный)

2. Конфигурация цели отправки клиента

групповая политика-> конфигурация компьютера -> Административные шаблоны -> windows компоненты -> пересылка событий -> Настройте целевой менеджер подписок (то есть адрес нашего сервера)

Выберите «Включено» и введите:

Server=http://tony-PC.lmrsec.com:5985/wsman/SubscriptionManager/WEC

Здесь полное доменное имя относится к имени ПК серверного компьютера.

Конфигурация на стороне сервера

1. Откройте элемент сбора журналов

Откройте powershell или cmd с правами администратора, запустите службу winrm qcWinRM и активируйте элементы сбора журналов:

2. Настройте элементы приема журналов и компьютеры-получатели.

Откройте «Просмотр событий» (eventvwr.msc) и выберите подписку слева:

Нажмите, чтобы создать подписку:

Введите имя компьютера клиентской машины в домене.

Добавьте идентификатор события для фильтрации:

Подождите некоторое время и просмотрите данные в разделе «События, перенаправленные в средстве просмотра событий».

reference

Инструкции по построению узла журнала SIEM-центра WEF

Конфигурация Windows пересылка событий

Создание сервера сбора журналов Windows

постскриптум

1.Конфигурация Сколько времени потребуется после завершения для отслеживания и пересылки сообщения?избревно,На этот раз неопределенно,нравиться фруктами В разделе «Управление событиями — пересылаемые события» нажмите «Очистить журнал», вы можете подождать появления журнала дольше. Вам необходимо проверить, соответствует ли время хоста, на который пересылаются логи, текущему времени.

Также имеется функция «Управление событиями – пересылка событий», «Фильтрация текущего журнала», которую можно фильтровать по типу журнала.

2. Как анализировать пересылаемые впоследствии логи и как снова пересылать их на охранное устройство - тоже проблема.

3. Соответствующий трафик подписки шифруется:

4. Если вы хотите отправить его на хост за пределами домена, вы также можете использовать сертификат.

Заявление об авторских правах: Содержание этой статьи добровольно предоставлено пользователями Интернета, а мнения, выраженные в этой статье, представляют собой только точку зрения автора. Данный сайт лишь предоставляет услуги по хранению информации, не имеет никаких прав собственности и не несет соответствующей юридической ответственности. Если вы обнаружите на этом сайте какое-либо подозрительное нарушение авторских прав/незаконный контент, отправьте электронное письмо, чтобы сообщить. После проверки этот сайт будет немедленно удален.