Настройка инициируемой исходной подписки
Подписки, инициированные источником, позволяют определять подписку на компьютере сборщика событий без определения исходных компьютеров событий, а затем несколько удаленных исходных компьютеров событий можно настроить (с помощью параметра групповой политики) для пересылки событий на компьютер сборщика событий. Это отличается от подписки, инициированной сборщиком, так как в модели подписки, инициированной сборщиком событий, необходимо определить все источники событий в подписке на события.
При настройке исходной подписки следует учитывать, находятся ли исходные компьютеры событий в том же домене, что и компьютер сборщика событий. В следующих разделах описаны шаги, которые необходимо выполнить, когда источники событий находятся в том же домене или нет в том же домене, что и компьютер сборщика событий.
Примечание.
Любой компьютер в домене, локальном или удаленном, может быть сборщиком событий. Однако при выборе сборщика событий важно выбрать компьютер, который топологионно близок к тому, где будет создано большинство событий. Отправка событий на компьютер в удаленном сетевом расположении в глобальной сети может снизить общую производительность и эффективность сбора событий.
Настройка исходной подписки, в которой источники событий находятся в том же домене, что и компьютер сборщика событий.
Исходные компьютеры событий и компьютер сборщика событий должны быть настроены для настройки исходной подписки, инициированной источником.
Примечание.
В этих инструкциях предполагается, что у вас есть доступ администратора к контроллеру домена Windows Server, обслуживающего домен, в котором удаленный компьютер или компьютеры будут настроены для сбора событий.
Настройка исходного компьютера события
Выполните следующую команду из командной строки с повышенными привилегиями на контроллере домена Windows Server, чтобы настроить удаленное управление Windows:
winrm qc -q
Запустите групповую политику, выполнив следующую команду:
%SYSTEMROOT%\System32\gpedit.msc
В узле конфигурации компьютера разверните узел административных шаблонов, а затем разверните узел компонентов Windows, а затем выберите узел пересылки событий.
Щелкните правой кнопкой мыши параметр SubscriptionManager и выберите "Свойства". Включите параметр SubscriptionManager и нажмите кнопку "Показать", чтобы добавить адрес сервера в параметр. Добавьте по крайней мере один параметр, указывающий компьютер сборщика событий. Окно свойств SubscriptionManager содержит вкладку "Объяснить ", описывающую синтаксис параметра.
После добавления параметра SubscriptionManager выполните следующую команду, чтобы убедиться, что политика применяется:
gpupdate /force
Настройка компьютера сборщика событий
Выполните следующую команду из командной строки с повышенными привилегиями на контроллере домена Windows Server, чтобы настроить удаленное управление Windows:
winrm qc -q
Выполните следующую команду, чтобы настроить службу сборщика событий:
wecutil qc /q
Создайте исходную подписку, инициированную источником. Это можно сделать программным способом с помощью Просмотр событий или с помощью Wecutil.exe. Дополнительные сведения о том, как создать подписку программным способом, см. в примере кода в разделе "Создание инициируемой исходной подписки". При использовании Wecutil.exe необходимо создать XML-файл подписки на события и использовать следующую команду:
wecutil cs configurationFile.xml
Следующий XML- пример содержимого файла конфигурации подписки, создающего созданную источником подписку для пересылки событий из журнала событий приложения удаленного компьютера в журнал forwardedEvents на компьютере сборщика событий.
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleSISubscription</SubscriptionId> <SubscriptionType>SourceInitiated</SubscriptionType> <Description>Source Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>1</MaxItems> <MaxLatencyTime>1000</MaxLatencyTime> </Batching> <PushSettings> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2018-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>Event[System/EventID='999']</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>true</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers> <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers> </Subscription>
Примечание.
При создании инициируемой исходной подписки, если allowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList и DeniedSubjectList являются пустыми, то "O:NSG:NSD:(A;; ГА;;; DC)(A;; ГА;;; NS)" будет использоваться в качестве дескриптора безопасности по умолчанию для AllowedSourceDomainComputers. Дескриптор по умолчанию предоставляет членам группы доменных компьютеров доменных компьютеров, а также группу локальных сетевых служб (для локального сервера пересылки), возможность вызывать события для этой подписки.
Проверка правильности работы подписки
На компьютере сборщика событий выполните следующие действия.
Выполните следующую команду из командной строки с повышенными привилегиями на контроллере домена Windows Server, чтобы получить состояние среды выполнения подписки:
wecutil gr <subscriptionID>
Убедитесь, что источник событий подключен. Возможно, потребуется подождать, пока интервал обновления, указанный в политике, будет закончен после создания подписки для подключения источника событий.
Выполните следующую команду, чтобы получить сведения о подписке:
wecutil gs <subscriptionID>
Получите значение DeliveryMaxItems из сведений о подписке.
На исходном компьютере события создайте события, соответствующие запросу из подписки на события. Число событий DeliveryMaxItems должно быть поднято для переадресации событий.
На компьютере сборщика событий убедитесь, что события перенаправились в журнал ForwardedEvents или в журнал, указанный в подписке.
Пересылка журнала безопасности
Чтобы перенаправить журнал безопасности, необходимо добавить учетную запись NETWORK SERVICE в группу читателей журнала событий.
Настройка исходной подписки, в которой источники событий не находятся в том же домене, что и компьютер сборщика событий.
Примечание.
В этих инструкциях предполагается, что у вас есть доступ администратора к контроллеру домена Windows Server. В этом случае, так как компьютер или компьютеры удаленного сборщика событий не находятся в домене, обслуживаемом контроллером домена, необходимо запустить отдельный клиент, установив для удаленного управления Windows значение "автоматически" с помощью служб (services.msc). Кроме того, вы можете запустить команду winrm quickconfig на каждом удаленном клиенте.
Перед созданием подписки необходимо выполнить следующие предварительные требования.
На компьютере сборщика событий выполните следующие команды из командной строки с повышенными привилегиями, чтобы настроить удаленное управление Windows и службу сборщика событий:
winrm qc -q
wecutil qc /q
Компьютер сборщика должен иметь сертификат проверки подлинности сервера (сертификат с целью проверки подлинности сервера) в хранилище сертификатов локального компьютера.
На исходном компьютере события выполните следующую команду, чтобы настроить удаленное управление Windows:
winrm qc -q
Исходный компьютер должен иметь сертификат проверки подлинности клиента (сертификат с целью проверки подлинности клиента) в локальном хранилище сертификатов компьютера.
Порт 5986 открыт на компьютере сборщика событий. Чтобы открыть этот порт, выполните команду:
Брандмауэр netsh добавляет портопенирование TCP 5986 "Удаленное управление Winrm HTTPS"
Требования к сертификатам
Сертификат проверки подлинности сервера должен быть установлен на компьютере сборщика событий в личном хранилище локального компьютера. Субъект этого сертификата должен соответствовать полному доменному имени сборщика.
Сертификат проверки подлинности клиента должен быть установлен на компьютерах источника событий в личном хранилище локального компьютера. Субъект этого сертификата должен соответствовать полному доменному имени компьютера.
Если сертификат клиента выдан другим центром сертификации, чем один из сборщиков событий, то эти корневые и промежуточные сертификаты также должны быть установлены на сборщике событий.
Если сертификат клиента был выдан промежуточным центром сертификации, а сборщик работает под управлением Windows 2012 или более поздней версии, необходимо настроить следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2
Убедитесь, что сервер и клиент могут успешно проверить состояние отзыва на всех сертификатах. Использование команды certutil может помочь в устранении ошибок.
Дополнительные сведения см. в этой статье: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx
Настройка прослушивателя в сборщике событий
Задайте проверку подлинности сертификата с помощью следующей команды:
winrm set winrm/config/service/auth @{Certificate="true"}
Прослушиватель HTTPS WinRM с отпечатком сертификата проверки подлинности сервера должен существовать на компьютере сборщика событий. Это можно проверить с помощью следующей команды:
winrm e winrm/config/listener
Если вы не видите прослушиватель HTTPS, или если отпечаток прослушивателя HTTPS не совпадает с отпечатком сертификата проверки подлинности сервера на компьютере сборщика, вы можете удалить этот прослушиватель и создать его с правильным отпечатком. Чтобы удалить прослушиватель https, используйте следующую команду:
winrm delete winrm/config/Listener? Address=*+Transport=HTTPS
Чтобы создать прослушиватель, используйте следующую команду:
winrm create winrm/config/Listener? Address=*+Transport=HTTPS @{Hostname="<полное доменное имя сборщика>"; CertificateThumbprint="<Отпечаток сертификата> проверки подлинности сервера"}
Настройка сопоставления сертификатов в сборщике событий
Создайте локального пользователя.
Сделайте этого нового пользователя локальным администратором в сборщике.
Создайте сопоставление сертификатов с помощью сертификата, который присутствует в доверенных корневых центрах сертификации или промежуточных центрах сертификации компьютера.
Примечание.
Это сертификат корневых или промежуточных центров сертификации (ЦС), выдавшего сертификаты, установленные на компьютерах источника событий (ЦС непосредственно над сертификатом в цепочке сертификатов):
winrm create winrm/config/service/certmapping? Issuer=<Отпечаток выдаваемого сертификата> ЦС+Subject=*+URI=* @{UserName="<username>"; Password="<password>"} -remote:localhost
В клиенте используйте следующую команду, чтобы проверить прослушиватель и сопоставление сертификатов:
winrm g winrm/config -r:https://<Полное доменное имя> сборщика событий:5986 -a:certificate-certificate:"<Отпечаток сертификата> проверки подлинности клиента"
Это должно возвращать конфигурацию WinRM сборщика событий. Не перемещайтесь мимо этого шага, если конфигурация не отображается.
Что происходит на этом шаге?
- Клиент подключается к сборщику событий и отправляет указанный сертификат.
- Сборщик событий ищет выдающий ЦС и проверяет, соответствует ли сопоставление сертификатов.
- Сборщик событий проверяет состояние цепочки сертификатов клиента и отзывов.
- Если эти действия выполнены успешно, проверка подлинности завершена.
Примечание.
Вы можете получить ошибку с отказом в доступе, жалуясь на метод проверки подлинности, который может вводить в заблуждение. Чтобы устранить неполадки, проверьте журнал CAPI в сборщике событий.
- Вывод списка настроенных записей certmapping с помощью команды: winrm enum winrm/config/service/certmapping
Примечание.
Локальный пользователь, созданный на шаге 1, никогда не используется для олицетворения пользователя, подключающегося через проверку подлинности сертификата в сценарии пересылки EventLog, и его можно удалить после этого. Если вы планируете использовать проверку подлинности сертификатов в другом сценарии, например Remote PowerShell, не удаляйте локального пользователя.
Конфигурация исходного компьютера события
Войдите в систему с учетной записью администратора и откройте редактор локальной групповой политики (gpedit.msc)
Перейдите к политике локального компьютера\Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Пересылка событий.
Откройте окно "Настройка адреса сервера, интервала обновления и центра сертификации издателя целевой политики Диспетчера подписок".
Включите политику и щелкните "Показать..." пуговица.
В окне SubscriptionManagers введите следующую строку:
Server=HTTPS://<FQDN сервера> сборщика событий:5986/wsman/SubscriptionManager/WEC,Refresh=Refresh=<Refresh интервал в секундах,IssuerCA>=<Отпечаток выданного сертификата ЦС>
Выполните следующую командную строку, чтобы обновить параметры локальной групповой политики:Gpupdate /force
Эти действия должны создать событие 104 на исходном компьютере, Просмотр событий Приложения и службы Logs\Microsoft\Windows\Eventlog-ForwardingPlugin\Operations log со следующим сообщением:
"Переадресатор успешно подключен к диспетчеру подписок по полному доменному>имени адреса<, за которым следует событие 100 с сообщением": "<Подписка sub_name> создана успешно".
На сборщике событий состояние среды выполнения подписки будет отображаться 1 активный компьютер.
Откройте журнал ForwardedEvents в сборщике событий и проверьте, перенаправили ли события с исходных компьютеров.
Предоставление разрешения на закрытый ключ сертификата клиента в источнике событий
- Откройте консоль управления сертификатов для локального компьютера на исходном компьютере событий.
- Щелкните правой кнопкой мыши сертификат клиента и управление закрытыми ключами.
- Предоставьте пользователю NETWORK SERVICE разрешение на чтение.
Конфигурация подписки на события
- Откройте Просмотр событий в сборщике событий и перейдите к узлу подписок.
- Щелкните правой кнопкой мыши подписки и выберите "Создать подписку..."
- Укажите имя и необязательное описание новой подписки.
- Выберите параметр "Исходный компьютер, инициированный" и нажмите кнопку "Выбрать группы компьютеров...".
- В группах компьютеров щелкните "Добавить компьютеры, отличные от домена..." и введите имя узла источника события.
- Нажмите кнопку "Добавить сертификаты..." и добавьте сертификат центра сертификации, который выдает сертификаты клиента. Чтобы проверить сертификат, щелкните "Просмотреть сертификат".
- В центрах сертификации нажмите кнопку "ОК", чтобы добавить сертификат.
- После завершения добавления компьютеров нажмите кнопку "ОК".
- Вернитесь к свойствам подписки, щелкните "Выбрать события" ...
- Настройте фильтр запросов событий, указав уровни событий, журналы событий или источники событий, идентификаторы событий и другие параметры фильтрации.
- Вернитесь к свойствам подписки, нажмите кнопку "Дополнительно" ...
- Выберите один из вариантов оптимизации доставки событий из исходного события в сборщик событий или оставьте стандартный режим по умолчанию:
- Свести к минимуму пропускную способность: события будут доставлены меньше частоты для экономии пропускной способности.
- Свести к минимуму задержку. События будут доставлены сразу после их уменьшения задержки.
- Измените протокол на HTTPS и нажмите кнопку "ОК".
- Нажмите кнопку "ОК", чтобы создать новую подписку.
- Проверьте состояние среды выполнения подписки, щелкнув правой кнопкой мыши и выбрав "Состояние среды выполнения"