[Windows] 設定Windows 2008 R2事件檢視器內容轉送與收集

將伺服器的Log能夠作集中或是異區的存放,在資安上是一個很重要的議題,透過事件紀錄的轉送,並且針對事件伺服器作權限上的控管,那這樣就可以避免駭客或是內部人員執行某些步驟後,為了不留下痕跡,也一併將Log刪除的盲點。

 

因為公司工作的需要,所以必須將網路中所有的伺服器事件作一個集中管理與備份,所以找了一下相關的解法,不過依照過去的經驗,這一篇文章的出現,代表網路上的文章不是不完整就是語焉不詳,所以以下就開始進入正題了。

我希望能夠達到的目標如下圖

這真是個簡單到爆炸的需求,但是設定起來可不簡單,首先我們要先瞭解一件事。就是事件傳送的方式。

事件傳送的方式有兩種

一種是我們把主動端設定在伺服器上,由伺服器固定時間,就自動去來源伺服器中抓取事件內容,這種方式稱為Pull。

另外一種是主動端設定在來源伺服器上,透過Push的方式,由來源伺服器將事件內容自動送達到事件伺服器上。

在設定的過程中,因為Pull的方式最簡單,所以接下來我會採用Pull的方式,也就是由伺服器連線到事件的來源伺服器中去抓取資料。

1.      首先,我先建立一個網域eventlab.local,由於事件的傳送,兩台電腦都必須存在網域中,所以網域是一定要存在的一個主要要素,並且要將兩台伺服器,EventSource與EventServer都放進網域中

2.      在EventServer,也就是事件收集伺服器中,執行下列command
wecutil qc
這行語法最主要的目的,是為了開啟 [Windows Event Collector] 這一個服務,並設定該服務為延遲啟動

3.      在EventSource,也就是要傳送事件記錄的伺服器,執行下列command
winrm quickconfig
這行語法是將該Source主機設定為可以接受EventServer的請求進行事件的訂閱,並可接受遠端的管理

4.      接下來還有一個很重要的準備工作要作,請在Domain之中,建立一個EventReader的使用者帳戶

5.      在EventSource上,將這個EventReader使用者帳戶加入到Event Log Readers這個群組中

6.      所有準備工作都已經完成了,接下來就可以開始設定事件內容的傳送,讓我們在EventServer上,先開啟事件檢視器,並選擇 [訂閱 ]=> [建立訂閱],由於我們是採用Pull的方式,所以在[訂閱類型與來源電腦] 選項中,必須選擇[收集器起始] 代表是由事件伺服器主動去找事件來源抓資料

7.      然後按下[選取電腦] 並點選[新增網域電腦] 將EventSource這台伺服器加入到清單中,加入後可以按下[測試] 按鈕測看看能不能連通

8.      接著按下[選取事件] ,在這個功能裡,可以選擇有哪些事件內容是需要傳送到事件伺服器中的,這部份就可以看需求進行傳送資料的調整

9.      最後一個步驟,就是按下[進階] ,在[進階] 的設定中,我們必須去更改使用者帳戶,更改為剛剛加入Event Log Readers群組中的EventReader帳戶,這樣才能讓EventServer順利的讀取EventSource的事件內容,然後也必須記下HTTP所使用的Port號,因為必須要在防火牆設定中,加入這個Port號的例外,不然資料可是傳不到的

下圖就是最後完成的設定畫面

如果不確定這樣的運作是不是可以正常執行,可以在這個設定上按下右鍵,選擇[執行階段狀態] ,這樣就可以查看這個工作是否有順利執行,或是遇到什麼錯誤。

最後的結果,也可以在左方選單中[Windows紀錄] => [轉送的事件] 中查看到抓取EventSource的事件內容

將伺服器的Log能夠作集中或是異區的存放,在資安上是一個很重要的議題,透過事件紀錄的轉送,並且針對事件伺服器作權限上的控管,那這樣就可以避免駭客或是內部人員執行某些步驟後,為了不留下痕跡,也一併將Log刪除的盲點。