Einrichten eines von der Quelle initiierten Abonnements
Mit von der Quelle initiierten Abonnements können Sie ein Abonnement auf einem Ereignissammlungscomputer definieren, ohne die Ereignisquellencomputer zu definieren. Anschließend können mehrere Remote-Ereignisquellencomputer (mithilfe einer Gruppenrichtlinieneinstellung) eingerichtet werden, um Ereignisse an den Ereignissammlungscomputer weiterzuleiten. Dies unterscheidet sich von einem vom Collector initiierten Abonnement, da im vom Collector initiierten Abonnementmodell die Ereignissammlung alle Ereignisquellen im Ereignisabonnement definieren muss.
Wenn Sie ein von der Quelle initiiertes Abonnement einrichten, berücksichtigen Sie, ob sich die Ereignisquellencomputer in derselben Domäne befinden wie der Ereignissammlungscomputer. In den folgenden Abschnitten werden die Schritte beschrieben, die ausgeführt werden müssen, wenn sich die Ereignisquellen in derselben Domäne bzw. nicht in derselben Domäne wie der Ereignissammlungscomputer befinden.
Hinweis
Jeder Computer in einer Domäne (lokal oder remote) kann eine Ereignissammlung sein. Bei der Auswahl einer Ereignissammlung ist es jedoch wichtig, einen Computer auszuwählen, der topologisch nahe an dem Ort liegt, an dem die meisten Ereignisse generiert werden. Das Senden von Ereignissen an einen Computer an einem entfernten Netzwerkstandort in einem WAN kann die Gesamtleistung und Effizienz der Ereigniserfassung verringern.
Einrichten eines von der Quelle initiierten Abonnements, bei dem sich die Ereignisquellen in derselben Domäne befinden wie der Ereignissammlungscomputer
Um ein von der Quelle initiiertes Abonnement einzurichten, müssen sowohl die Ereignisquellencomputer als auch der Ereignissammlungscomputer konfiguriert werden.
Hinweis
Diese Anweisungen setzen voraus, dass Sie über Administratorzugriff auf den Windows Server-Domänencontroller verfügen, der die Domäne bedient, in der der oder die Remotecomputer zum Erfassen von Ereignissen konfiguriert werden.
Konfigurieren des Ereignisquellencomputers
Führen Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten auf dem Windows Server-Domänencontroller aus, um die Windows-Remoteverwaltung zu konfigurieren:
winrm qc -q
Starten Sie die Gruppenrichtlinie, indem Sie den folgenden Befehl ausführen:
%SYSTEMROOT%\System32\gpedit.msc
Erweitern Sie unter dem Knoten Computer Configuration den Knoten Administrative Templates, erweitern Sie dann den Knoten Windows Components, und wählen Sie dann den Knoten Event Forwarding aus.
Klicken Sie mit der rechten Maustaste auf die Einstellung SubscriptionManager, und wählen Sie dann Properties aus. Aktivieren Sie die Einstellung SubscriptionManager, und klicken Sie auf die Schaltfläche Show, um der Einstellung eine Serveradresse hinzuzufügen. Fügen Sie mindestens eine Einstellung hinzu, die den Ereignissammlungscomputer angibt. Das Fenster SubscriptionManager Properties enthält die Registerkarte Explain, die die Syntax für die Einstellung beschreibt.
Nachdem die SubscriptionManager-Einstellung hinzugefügt wurde, führen Sie den folgenden Befehl aus, um sicherzustellen, dass die Richtlinie angewendet wird:
gpupdate /force
Konfigurieren des Ereignissammlungscomputers
Führen Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten auf dem Windows Server-Domänencontroller aus, um die Windows-Remoteverwaltung zu konfigurieren:
winrm qc -q
Führen Sie den folgenden Befehl aus, um den Ereignissammlungsdienst zu konfigurieren:
wecutil qc /q
Erstellen Sie ein von einer Quelle initiiertes Abonnement. Dies kann entweder programmgesteuert mithilfe der Ereignisanzeige oder mithilfe von Wecutil.exe erfolgen. Weitere Informationen zum programmgesteuerten Erstellen des Abonnements finden Sie im Codebeispiel in Erstellen eines von der Quelle initiierten Abonnements. Wenn Sie Wecutil.exe verwenden, müssen Sie eine XML-Datei für ein Ereignisabonnement erstellen und den folgenden Befehl verwenden:
wecutil cs configurationFile.xml
Das folgende XML ist ein Beispiel für den Inhalt einer Abonnementkonfigurationsdatei, die ein von der Quelle initiiertes Abonnement erstellt, um Ereignisse aus dem Anwendungsereignisprotokoll eines Remotecomputers an das ForwardedEvents-Protokoll auf dem Ereignissammlungscomputer weiterzuleiten.
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleSISubscription</SubscriptionId> <SubscriptionType>SourceInitiated</SubscriptionType> <Description>Source Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>1</MaxItems> <MaxLatencyTime>1000</MaxLatencyTime> </Batching> <PushSettings> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2018-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>Event[System/EventID='999']</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>true</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers> <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers> </Subscription>Hinweis
Wenn beim Erstellen eines von der Quelle initiierten Abonnements AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList und DeniedSubjectList leer sind, wird „O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)“ als Standardsicherheitsdeskriptor für AllowedSourceDomainComputers verwendet. Der Standarddeskriptor erteilt Mitgliedern der Domänengruppe „Domänencomputer“ sowie der lokalen Netzwerkdienstgruppe (für die lokale Weiterleitung) die Möglichkeit, Ereignisse für dieses Abonnement auszulösen.
So überprüfen Sie, ob das Abonnement ordnungsgemäß funktioniert
Führen Sie auf dem Ereignissammlungscomputer die folgenden Schritte aus:
Führen Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten auf dem Windows Server-Domänencontroller aus, um den Laufzeitstatus des Abonnements abzurufen:
wecutil gr <subscriptionID>
Stellen Sie sicher, dass die Ereignisquelle verbunden ist. Möglicherweise müssen Sie warten, bis das in der Richtlinie angegebene Aktualisierungsintervall abgelaufen ist, nachdem Sie das Abonnement für die zu verbindende Ereignisquelle erstellt haben.
Führen Sie den folgenden Befehl aus, um die Abonnementinformationen abzurufen:
wecutil gs <subscriptionID>
Rufen Sie den DeliveryMaxItems-Wert aus den Abonnementinformationen ab.
Lösen Sie auf dem Ereignisquellencomputer die Ereignisse aus, die der Abfrage aus dem Ereignisabonnement entsprechen. Die DeliveryMaxItems-Anzahl von Ereignissen muss ausgelöst werden, damit die Ereignisse weitergeleitet werden.
Überprüfen Sie auf dem Ereignissammlungscomputer, ob die Ereignisse an das ForwardedEvents-Protokoll oder an das im Abonnement angegebene Protokoll weitergeleitet wurden.
Weiterleiten des Sicherheitsprotokolls
Um das Sicherheitsprotokoll weiterleiten zu können, müssen Sie das NETWORK SERVICE-Konto zur Gruppe „EventLog Readers“ hinzufügen.
Einrichten eines von der Quelle initiierten Abonnements, bei dem sich die Ereignisquellen nicht in derselben Domäne befinden wie der Ereignissammlungscomputer
Hinweis
Bei diesen Anweisungen wird davon ausgegangen, dass Sie Administratorzugriff auf einen Windows Server-Domänencontroller haben. Da sich der bzw. die Remote-Ereignissammlungscomputer nicht in der Domäne befinden, die vom Domänencontroller bereitgestellt wird, ist es wichtig, einen einzelnen Client zu starten, indem Sie die Windows-Remoteverwaltung auf „automatic“ festlegen, indem Sie Dienste (services.msc) verwenden. Alternativ können Sie „winrm quickconfig“ auf jedem Remoteclient ausführen.
Die folgenden Voraussetzungen müssen erfüllt werden, bevor das Abonnement erstellt wird.
Führen Sie auf dem Ereignissammlungscomputer die folgenden Befehle über eine Eingabeaufforderung mit erhöhten Rechten aus, um die Windows-Remoteverwaltung und den Ereignissammlungsdienst zu konfigurieren:
winrm qc -q
wecutil qc /q
Der Collector-Computer sollte über ein Serverauthentifizierungszertifikat (Zertifikat mit einem Serverauthentifizierungszweck) in einem lokalen Computerzertifikatspeicher verfügen.
Führen Sie auf dem Ereignisquellencomputer den folgenden Befehl aus, um die Windows-Remoteverwaltung zu konfigurieren:
winrm qc -q
Der Quellcomputer sollte über ein Clientauthentifizierungszertifikat (Zertifikat zum Zweck der Clientauthentifizierung) in einem lokalen Computerzertifikatspeicher verfügen.
Port 5986 wird auf dem Ereignissammlungscomputer geöffnet. Führen Sie den folgenden Befehl aus, um diesen Port zu öffnen:
netsh firewall add portopening TCP 5986 "Winrm HTTPS Remote Management"
Zertifikatanforderungen
Ein Serverauthentifizierungszertifikat muss auf dem Ereignissammlungscomputer im persönlichen Speicher des lokalen Computers installiert werden. Der Betreff dieses Zertifikats muss mit dem FQDN des Collector übereinstimmen.
Ein Clientauthentifizierungszertifikat muss auf den Ereignisquellencomputern im persönlichen Speicher des lokalen Computers installiert werden. Der Betreff dieses Zertifikats muss mit dem FQDN des Computers übereinstimmen.
Wenn das Clientzertifikat von einer anderen Zertifizierungsstelle als die der Ereignissammlung ausgestellt wurde, müssen diese Stamm- und Zwischenzertifikate auch in der Ereignissammlung installiert werden.
Wenn das Clientzertifikat von einer Zwischenzertifizierungsstelle ausgestellt wurde und der Collector Windows 2012 oder höher ausführt, müssen Sie den folgenden Registrierungsschlüssel konfigurieren:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2
Stellen Sie sicher, dass sowohl der Server als auch der Client den Widerrufsstatus aller Zertifikate erfolgreich prüfen kann. Die Verwendung des Befehls certutil kann bei der Problembehandlung von Fehlern helfen.
Weitere Informationen finden Sie in diesem Artikel: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx
Einrichten des Listeners in der Ereignissammlung
Legen Sie die Zertifikatauthentifizierung mit dem folgenden Befehl fest:
winrm set winrm/config/service/auth @{Certificate="true"}
Ein WinRM HTTPS-Listener mit dem Fingerabdruck des Serverauthentifizierungszertifikats sollte auf dem Ereignissammlungscomputer vorhanden sein. Dies kann mithilfe des folgenden Befehls verifiziert werden:
winrm e winrm/config/listener
Wenn der HTTPS-Listener nicht angezeigt wird oder der Fingerabdruck des HTTPS-Listeners nicht mit dem Fingerabdruck des Serverauthentifizierungszertifikats auf dem Collector-Computer übereinstimmt, können Sie diesen Listener löschen und einen neuen mit dem richtigen Fingerabdruck erstellen. Verwenden Sie den folgenden Befehl, um den HTTPS-Listener zu löschen:
winrm delete winrm/config/Listener?Address=*+Transport=HTTPS
Verwenden Sie den folgenden Befehl, um einen neuen Listener zu erstellen:
winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="<FQDN des Collector>";CertificateThumbprint="<Fingerabdruck des Server-Authentifizierungszertifikats>"}
Konfigurieren der Zertifikatzuordnung für die Ereignissammlung
Erstellen Sie einen neuen lokalen Benutzer.
Machen Sie diesen neuen Benutzer zu einem lokalen Administrator für den Collector.
Erstellen Sie die Zertifikatzuordnung mithilfe eines Zertifikats, das in den „Vertrauenswürdigen Stammzertifizierungsstellen“ oder „Zwischenzertifizierungsstellen“ des Computers vorhanden ist.
Hinweis
Dies ist das Zertifikat der Stamm- oder Zwischenzertifizierungsstelle, das die auf den Ereignisquellencomputern installierten Zertifikate ausstellt dies ist die Zertifizierungsstelle, die in der Zertifikatskette direkt über dem Zertifikat steht):
winrm create winrm/config/service/certmapping?Issuer=<Fingerabdruck des ausstellenden CA-Zertifikats>+Subject=*+URI=* @{UserName="<username>";Password="<Kennwort>"} -remote:localhost
Testen Sie von einem Client aus den Listener und die Zertifikatszuordnung mit dem folgenden Befehl:
winrm g winrm/config -r:https://<FQDN der Ereignissammlung>:5986 -a:certificate -certificate:"<Fingerabdruck des Clientauthentifizierungszertifikats>"
Dies sollte die WinRM-Konfiguration der Ereignissammlung zurückgeben. Überspringen Sie diesen Schritt nicht, wenn die Konfiguration nicht angezeigt wird.
Was passiert in diesem Schritt?
- Der Client stellt eine Verbindung mit der Ereignissammlung her und sendet das angegebene Zertifikat.
- Die Ereignissammlung sucht nach der ausstellenden Zertifizierungsstelle und überprüft, ob es sich um eine übereinstimmende Zertifikatzuordnung handelt.
- Die Ereignissammlung überprüft die Clientzertifikatkette und den Widerrufsstatus.
- Wenn diese Schritte erfolgreich sind, wird die Authentifizierung abgeschlossen.
Hinweis
Möglicherweise wird Ihnen die Fehlermeldung „Zugriff verweigert“ angezeigt, die die Authentifizierungsmethode bemängelt. Dies kann irreführend sein. Überprüfen Sie zur Problembehandlung das CAPI-Protokoll für die Ereignissammlung.
- Auflisten der konfigurierten Certmapping-Einträge mit dem Befehl: winrm enum winrm/config/service/certmapping
Hinweis
Der in Schritt 1 erstellte lokale Benutzer wird niemals verwendet, um die Identität des Benutzers, der eine Verbindung über die Zertifikatauthentifizierung herstellt, in einem Ereignisprotokollweiterleitungsszenario zu imitieren. Er kann anschließend gelöscht werden. Wenn Sie die Zertifikatauthentifizierung in einem anderen Szenario verwenden möchten, z. B. Remote-Powershell, löschen Sie den lokalen Benutzer nicht.
Konfiguration des Ereignisquellencomputers
Melden Sie sich mit einem Administratorkonto an, und öffnen Sie den Editor für lokale Gruppenrichtlinien (gpedit.msc).
Navigieren Sie zu „Lokale Computerrichtlinie\Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Ereignisweiterleitung“.
Öffnen Sie die Richtlinie „Serveradresse, Aktualisierungsintervall und Aussteller-Zertifizierungsstelle eines Ziel-Abonnementmanagers konfigurieren“.
Aktivieren Sie die Richtlinie, und klicken Sie auf die Schaltfläche „Show...“ von SubscriptionManagers.
Geben Sie im Fenster „SubscriptionManagers“ die folgende Zeichenfolge ein:
Server=HTTPS://<FQDN des Ereignissammlungsservers>:5986/wsman/SubscriptionManager/WEC,Refresh=<Aktualisierungsintervall in Sekunden>,IssuerCA=<Fingerabdruck des ausstellenden CA-Zertifikats>
Führen Sie die folgende Befehlszeile aus, um die lokalen Gruppenrichtlinieneinstellungen zu aktualisieren: Gpupdate/force
Diese Schritte sollten in der Ereignisanzeige Ihres Quellcomputers unter „Anwendungen und Dienstprotokolle\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational“ das Ereignis 104 mit der folgenden Meldung generieren:
"Der Forwarder hat erfolgreich eine Verbindung zum Abonnementmanager unter der Adresse <FQDN>gefolgt vom Ereignis 100 mit der Nachricht: "Das Abonnement <sub_name> wurde erfolgreich erstellt." hergestellt.
In der Ereignissammlung wird als Laufzeitstatus des Abonnements jetzt ein aktiver Computer angezeigt.
Öffnen Sie das ForwardedEvents-Protokoll in der Ereignissammlung und prüfen Sie, ob die Ereignisse von den Quellcomputern weitergeleitet wurden.
Erteilen der Berechtigung für den privaten Schlüssel des Clientzertifikats in der Ereignisquelle
- Öffnen Sie die Zertifikatverwaltungskonsole für den lokalen Computer auf dem Ereignisquellencomputer.
- Klicken Sie mit der rechten Maustaste auf das Clientzertifikat und dann auf „Private Schlüssel verwalten“.
- Gewähren Sie dem NETWORK SERVICE-Benutzer die Leseberechtigung.
Konfiguration des Ereignisabonnements
- Öffnen Sie die Ereignisanzeige in der Ereignissammlung, und navigieren Sie zum Knoten „Subscriptions“.
- Klicken Sie mit der rechten Maustaste auf „Subscriptions“, und wählen Sie „Create Subscription…“ aus.
- Geben Sie einen Namen und eine optionale Beschreibung für das neue Abonnement an.
- Wählen Sie die Option „Source computer initiated“ aus, und klicken Sie auf „Select Computer Groups…“.
- Klicken Sie in „Computer Groups“ auf „Add Non-Domain Computers…“ und geben Sie den Hostnamen der Ereignisquelle ein.
- Klicken Sie auf „Add Certificates...“ und fügen Sie das Zertifikat der Zertifizierungsstelle hinzu, die die Clientzertifikate ausgibt. Sie können auf „View Certificate“ klicken, um das Zertifikat zu validieren.
- Klicken Sie unter „Certificate Authorities“ auf „OK“, um das Zertifikat hinzuzufügen.
- Wenn Sie mit dem Hinzufügen der Computer fertig sind, klicken Sie auf „OK“.
- Kehren Sie zu den Abonnementeigenschaften zurück, und klicken Sie auf „Select Events...“.
- Konfigurieren Sie den Ereignisabfragefilter, indem Sie die Ereignisebene(n), das/die Ereignisprotokoll(e) oder die Ereignisquelle(n), die Ereignis-ID(s) und andere Filteroptionen angeben.
- Kehren Sie zu den Abonnementeigenschaften zurück, und klicken Sie auf „Advanced...“.
- Wählen Sie eine der Optimierungsoptionen für die Ereignisübermittlung vom Quellereignis zur Ereignissammlung aus, oder belassen Sie die Standardeinstellung „Normal“:
- Bandbreite minimieren: Um Bandbreite zu sparen, werden Ereignisse seltener übermittelt.
- Latenz minimieren: Um die Ereignislatenz zu verringern, werden Ereignisse übermittelt, sobald sie auftreten.
- Ändern Sie das Protokoll in HTTPS, und klicken Sie auf „OK“.
- Klicken Sie auf „OK“, um das neue Abonnement zu erstellen.
- Überprüfen Sie den Laufzeitstatus des Abonnements, indem Sie mit der rechten Maustaste klicken und „Runtime Status“ auswählen.