Compartir a través de

Configuración de una suscripción iniciada por origen

  • Artículo

Las suscripciones iniciadas por el origen permiten definir una suscripción en un equipo recopilador de eventos sin definir los equipos de origen de eventos y, a continuación, se pueden configurar varios equipos de origen de eventos remotos (mediante una configuración de directiva de grupo) para reenviar eventos al equipo del recopilador de eventos. Esto difiere de una suscripción iniciada por el recopilador porque, en dicho modelo, el recopilador de eventos debe definir todos los orígenes de la suscripción a eventos.

Al configurar una suscripción iniciada por el origen, considere si los equipos de origen de eventos están en el mismo dominio que el equipo del recopilador de eventos. En las secciones siguientes se describen los pasos que se deben seguir cuando los orígenes de eventos están en el mismo dominio o no en el mismo dominio que el equipo del recopilador de eventos.

Nota

Cualquier equipo de un dominio, local o remoto, puede ser un recopilador de eventos. Sin embargo, al elegir un recopilador de eventos, es importante seleccionar una máquina que esté topológicamente cerca de donde se generará la mayoría de los eventos. El envío de eventos a una máquina en una ubicación de red distante en una WAN puede reducir el rendimiento general y la eficacia en la recopilación de eventos.

Configuración de una suscripción iniciada por la fuente en la que las fuentes de eventos están en el mismo dominio que el equipo del recopilador de eventos

Tanto los equipos de origen de eventos como el equipo del recopilador de eventos deben configurarse para configurar una suscripción iniciada por el origen.

Nota

En estas instrucciones se supone que tiene acceso de administrador al controlador de dominio de Windows Server que atiende el dominio en el que se configurará el equipo remoto o los equipos para recopilar eventos.

Configuración del equipo de origen de eventos

  1. Ejecute el siguiente comando en el símbolo del sistema con privilegios elevados en el controlador de dominio de Windows Server para configurar la administración remota de Windows:

    winrm qc -q

  2. Inicie la directiva de grupo ejecutando el siguiente comando:

    %SYSTEMROOT%\System32\gpedit.msc

  3. En el nodo configuración del equipo, expanda el nodo plantillas administrativas, expanda el nodo componentes de Windows y, a continuación, seleccione el nodo de reenvío de eventos.

  4. Haga clic con el botón derecho en la opción SubscriptionManager y seleccione Propiedades. Habilite la configuración SubscriptionManager y haga clic en el botón Mostrar para agregar una dirección de servidor a la configuración. Agregue al menos una configuración que especifique el equipo del recopilador de eventos. En la ventana Propiedades de SubscriptionManager está la pestaña Explicar que describe la sintaxis de la configuración.

  5. Una vez agregada la configuración SubscriptionManager, ejecute el siguiente comando para asegurarse de que se aplica la directiva:

    gpupdate /force

Configuración del equipo del recopilador de eventos

  1. Ejecute el siguiente comando desde una ventana de comandos con privilegios elevados en el controlador de dominio de Windows Server para configurar Windows Remote Management (WinRM):

    winrm qc -q

  2. Ejecute el comando siguiente para configurar el servicio recopilador de eventos:

    wecutil qc /q

  3. Cree una suscripción iniciada por la fuente. Esto se puede hacer mediante programación, mediante el Visor de eventos o mediante Wecutil.exe. Para obtener más información sobre cómo crear la suscripción mediante programación, consulte el ejemplo de código en Creación de una suscripción iniciada por origen. Si usa Wecutil.exe, debe crear un archivo XML de suscripción de eventos y usar el siguiente comando:

    wecutil csconfigurationFile.xml

    El siguiente XML es un ejemplo del contenido de un archivo de configuración de suscripción que crea una suscripción iniciada por el origen para reenviar eventos desde el registro de eventos Application de un equipo remoto al registro ForwardedEvents en el equipo que recopila eventos.

    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

    Nota

    Al crear una suscripción iniciada por el origen, si AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList y DeniedSubjectList están vacíos, "O:NSG:NSD:(A;; GA;;; DC)(A;; GA;;; NS)" se usará como descriptor de seguridad predeterminado para AllowedSourceDomainComputers. El descriptor predeterminado concede a los miembros del grupo de dominio Equipos de dominio, así como al grupo de servicios de red local (para el reenviador local), la capacidad de generar eventos para esta suscripción.

Para validar que la suscripción funciona correctamente

  1. En el equipo recopilador de eventos, siga los pasos siguientes:

    1. Ejecute el siguiente comando desde una ventana de comandos con privilegios elevados en el controlador de dominio de Windows Server para obtener el estado de ejecución de la suscripción.

      wecutil gr<subscriptionID>

    2. Compruebe que el origen de eventos está conectado. Es posible que tenga que esperar hasta que finalice el intervalo de actualización especificado en la directiva después de crear la suscripción para que se conecte el origen del evento.

    3. Ejecute el siguiente comando para obtener la información de la suscripción:

      wecutil gs<subscriptionID>

    4. Obtenga el valor DeliveryMaxItems de la información de la suscripción.

  2. En el equipo del origen de eventos, genere los eventos que coincidan con la consulta de la suscripción de eventos. Debe generarse el número de eventos DeliveryMaxItems para que se reenvíen los eventos.

  3. En el equipo del recopilador de eventos, compruebe que los eventos se han reenviado al registro ForwardedEvents o al registro indicado en la suscripción.

Reenvío del registro de seguridad

Para poder reenviar el registro de seguridad, debe agregar la cuenta NETWORK SERVICE al grupo Lectores del registro de eventos.

Configuración de una suscripción iniciada por el origen en la que los orígenes de eventos no están en el mismo dominio que el equipo recopilador de eventos

Nota

En estas instrucciones se supone que tiene acceso de administrador a un controlador de dominio de Windows Server. En este caso, dado que el equipo o equipos del recopilador de eventos remotos no están en el dominio servido por el controlador de dominio, es esencial iniciar un cliente individual estableciendo administración remota de Windows en "automático" mediante Servicios (services.msc). Como alternativa, puede ejecutar "winrm quickconfig" en cada cliente remoto.

Se deben cumplir los siguientes requisitos previos antes de crear la suscripción.

  1. En el equipo recopilador de eventos, ejecute los siguientes comandos en el símbolo del sistema con privilegios elevados para configurar la administración remota de Windows y el servicio del recopilador de eventos:

    winrm qc -q

    wecutil qc /q

  2. El equipo recopilador debe tener un certificado de autenticación de servidor (certificado con un propósito de autenticación de servidor) en un almacén de certificados de equipo local.

  3. En el equipo de origen de eventos, ejecute el siguiente comando para configurar la administración remota de Windows:

    winrm qc -q

  4. La máquina de origen debe tener un certificado de autenticación de cliente (certificado con un propósito de autenticación de cliente) en un almacén de certificados de equipo local.

  5. El puerto 5986 se abre en el equipo recopilador de eventos. Para abrir este puerto, ejecute el comando :

    netsh firewall add portopening TCP 5986 "Winrm HTTPS Remote Management"

Requisitos de certificados

  • Debe instalarse un certificado de autenticación de servidor en el equipo recopilador de eventos en el almacén personal del equipo local. El nombre de este certificado debe coincidir con el FQDN del recopilador.

  • Debe instalarse un certificado de autenticación de cliente en los equipo de origen de eventos en el almacén personal del equipo local. El nombre de este certificado debe coincidir con el FQDN del equipo.

  • Si el certificado de cliente lo ha emitido una entidad de certificación diferente a la del recopilador de eventos, esos certificados raíz e intermedio también deben instalarse en el recopilador de eventos.

  • Si una entidad de certificación intermedia emitió el certificado de cliente y el recopilador ejecuta Windows 2012 o posterior, tendrá que configurar la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2

  • Compruebe que tanto el servidor como el cliente pueden comprobar correctamente el estado de revocación en todos los certificados. El uso del comando certutil puede ayudar a solucionar los errores.

Obtenga más información en este artículo: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx

Configuración del agente de escucha en el recopilador de eventos

  1. Establezca la autenticación de certificado con el comando siguiente:

    winrm set winrm/config/service/auth '@{Certificate="true"}'

  2. Debe haber un agente de escucha HTTPS de WinRM con la huella digital del certificado de autenticación del servidor en el equipo recopilador de eventos. Esto se puede comprobar con el siguiente comando:

    winrm e winrm/config/listener

  3. Si no ve el agente de escucha HTTPS o si la huella digital del agente de escucha HTTPS no es la misma que la huella digital del certificado de autenticación del servidor en el equipo recopilador, puede eliminar ese agente de escucha y crear uno nuevo con la huella digital correcta. Para eliminar el agente de escucha https, use el siguiente comando:

    winrm delete winrm/config/Listener?Address=*+Transport=HTTPS

    Para crear un nuevo agente de escucha, use el siguiente comando:

    winrm create winrm/config/Listener?Address=*+Transport=HTTPS '@{Hostname="<FQDN del recopilador>";CertificateThumbprint="<Huella digital del certificado de autenticación de servidor>"}'

Configuración de la asignación de certificados en el recopilador de eventos

  1. Cree un nuevo usuario local.

  2. Convierta este nuevo usuario en administrador local en el recopilador.

  3. Cree la asignación de certificados mediante un certificado que figure en las "Entidades de certificación raíz de confianza" o "Entidades de certificación intermedias" de la máquina.

    Nota

    Este es el certificado de la entidad de certificación raíz o intermedia (CA) que emitió los certificados instalados en los equipos fuente del evento (la entidad de certificación inmediatamente encima del certificado en la cadena de certificación):

    winrm create winrm/config/service/certmapping?Issuer=<Huella digital del certificado de la CA emisora>+Subject=*+URI=* '@{UserName="<username>";Password="<password>"}' -remote:localhost

  4. En un cliente, use el comando siguiente para probar el agente de escucha y la asignación de certificados:

    winrm g winrm/config -r:https://<Event Collector FQDN>:5986 -a:certificate -certificate:"<Huella digital del certificado de autenticación de cliente>"

    Esto debe devolver la configuración de WinRM del recopilador de eventos. No pase de este paso si no aparece la configuración.

    ¿Qué ocurre en este paso?

    • El cliente se conecta al recopilador de eventos y envía el certificado especificado.
    • El recopilador de eventos busca la entidad de certificación emisora y comprueba si existe una asignación de certificados coincidente.
    • El recopilador de eventos valida la cadena de certificados del cliente y el estado de revocaciones.
    • Si estos pasos se realizan correctamente, se completa la autenticación.

Nota

Es posible que reciba un error de acceso denegado que avisando del método de autenticación, lo que podría llevar a engaño. Para solucionar problemas, compruebe el registro CAPI en el Event Collector.

  1. Enumerar las entradas de certmapping configuradas con el comando: winrm enum winrm/config/service/certmapping

Nota

El usuario local creado en el paso 1 nunca se usa para suplantar al usuario que se conecta a través de la autenticación de certificados en un escenario de reenvío de EventLog y se puede eliminar después. Si planea usar la autenticación de certificados en un escenario diferente, como PowerShell remoto, no elimine el usuario local.

Configuración del equipo de origen de eventos

  1. Inicie sesión con una cuenta de administrador y abra el Editor de directivas de grupo local (gpedit.msc)

  2. Vaya a la directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Reenvío de eventos.

  3. Abra la directiva "Configurar la dirección del servidor, el intervalo de actualización y la entidad de certificación del emisor de un Administrador de suscripciones de destino".

  4. Habilite la política y haga clic en el botón 'Mostrar...' de SubscriptionManagers.

  5. En la ventana SubscriptionManagers , escriba la cadena siguiente:

    Server=HTTPS://<FQDN del servidor del recopilador de eventos>:5986/wsman/SubscriptionManager/WEC,Refresh=<Intervalo de actualización en segundos>,IssuerCA=<Huella digital del certificado de la CA emisora>

  6. Ejecute la siguiente línea de comandos para actualizar la configuración de la directiva de grupo local:Gpupdate /force

  7. Estos pasos deben generar el evento 104 en el equipo de origen Registros de aplicaciones y servicios del Visor de eventos\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational log con el siguiente mensaje:

    El reenviador se ha conectado correctamente al administrador de suscripciones en la dirección <FQDN>, seguido por el evento 100 con el mensaje: "La suscripción <sub_name> ha sido creada con éxito".

  8. En el recopilador de eventos, en el estado del tiempo de ejecución de la suscripción se verá ahora 1 equipo activo.

  9. Abra el registro ForwardedEvents en el recopilador de eventos y compruebe si tiene los eventos reenviados desde los equipos de origen.

Concesión de permiso en la clave privada del certificado de cliente en el origen de eventos

  1. Abra la consola de administración de certificados para la máquina local en el equipo de origen de eventos.
  2. Haga clic con el botón derecho en el certificado de cliente y, a continuación, administrar claves privadas.
  3. Conceda permiso de lectura al usuario NETWORK SERVICE.

Configuración de la suscripción de eventos

  1. Abra el Visor de eventos en el recopilador de eventos y vaya al nodo Suscripciones.
  2. Haga clic con el botón derecho en Suscripciones y elija "Crear suscripción..."
  3. Asigne un nombre y una descripción opcional para la nueva suscripción.
  4. Seleccione la opción "Iniciado por el equipo de origen" y haga clic en "Seleccionar grupos de equipos...".
  5. En Grupos de equipos, haga clic en "Agregar equipos que no son de dominio..." y escriba el nombre de host del origen del evento.
  6. Haga clic en "Agregar certificados..." y agregue el certificado de la entidad de certificación que emite los certificados de cliente. Puede hacer clic en Ver certificado para validar el certificado.
  7. En Entidades de certificación, haga clic en Aceptar para agregar el certificado.
  8. Cuando termine de agregar equipos, haga clic en Aceptar.
  9. De vuelta a las propiedades de la suscripción, haga clic en Seleccionar eventos...
  10. Configure el filtro de consulta de eventos especificando los niveles de eventos, los registros de eventos o los orígenes de eventos, los identificadores de evento y cualquier otra opción de filtrado.
  11. De vuelta a las propiedades de la suscripción, haga clic en Opciones avanzadas...
  12. Elija una de las opciones de optimización para la entrega de eventos desde el evento de origen al recopilador de eventos o deje el valor normal predeterminado:
    1. Minimizar el ancho de banda: los eventos se entregarán con menos frecuencia para ahorrar ancho de banda.
    2. minimizar la latencia: los eventos se entregarán en cuanto se produzcan para reducir la latencia de los eventos.
  13. Cambie el protocolo a HTTPS y haga clic en Aceptar.
  14. Haga clic en Aceptar para crear la nueva suscripción.
  15. Para comprobar el estado en tiempo de ejecución de la suscripción, haga clic con el botón derecho y elija "Estado del entorno de ejecución".