Een door bron geïnitieerd abonnement instellen
Met door de bron geïnitieerde abonnementen kunt u een abonnement definiëren op een gebeurtenisverzamelaarcomputer zonder de gebeurtenisbroncomputers te definiëren. Vervolgens kunnen meerdere externe gebeurtenisbroncomputers worden ingesteld (met behulp van een groepsbeleidsinstelling) om gebeurtenissen door te sturen naar de gebeurtenisverzamelaarcomputer. Dit verschilt van een door collector geïnitieerd abonnement omdat de gebeurtenisverzamelaar in het door de collector geïnitieerde abonnementsmodel alle gebeurtenisbronnen in het gebeurtenisabonnement moet definiëren.
Bij het instellen van een door de bron geïnitieerd abonnement, moet u overwegen of de gebeurtenisbroncomputers zich in hetzelfde domein bevinden als de gebeurtenisverzamelaarcomputer. In de volgende secties worden de stappen beschreven die moeten worden uitgevoerd wanneer de gebeurtenisbronnen zich in hetzelfde domein bevinden of zich niet in hetzelfde domein bevinden als de computer van de gebeurtenisverzamelaar.
Notitie
Elke computer in een domein, lokaal of extern, kan een gebeurtenisverzamelaar zijn. Wanneer u echter een gebeurtenisverzamelaar kiest, is het belangrijk om een machine te selecteren die topologisch dicht bij de locatie ligt waar het merendeel van de gebeurtenissen wordt gegenereerd. Het verzenden van gebeurtenissen naar een computer op een externe netwerklocatie op een WAN kan de algehele prestaties en efficiëntie in het verzamelen van gebeurtenissen verminderen.
Een door de bron geïnitieerd abonnement instellen waarbij de gebeurtenisbronnen zich in hetzelfde domein bevinden als de computer van de gebeurtenisverzamelaar
Zowel de gebeurtenisbroncomputers als de gebeurtenisverzamelaarcomputer moeten worden geconfigureerd om een door de bron geïnitieerd abonnement in te stellen.
Notitie
In deze instructies wordt ervan uitgegaan dat u beheerderstoegang hebt tot de Windows Server-domeincontroller die het domein bedient waarin de externe computer of computers worden geconfigureerd voor het verzamelen van gebeurtenissen.
De gebeurtenisbroncomputer configureren
Voer de volgende opdracht uit vanaf een opdrachtprompt met verhoogde bevoegdheden op de Windows Server-domeincontroller om Windows Remote Management te configureren:
winrm qc -q
Start groepsbeleid door de volgende opdracht uit te voeren:
%SYSTEMROOT%\System32\gpedit.msc
Vouw onder het knooppunt Computerconfiguratie het knooppunt Beheersjablonen uit en vouw vervolgens het knooppunt Windows-onderdelen uit en selecteer vervolgens het knooppunt Event Forwarding.
Klik met de rechtermuisknop op de instelling SubscriptionManager en selecteer Eigenschappen. Schakel de instelling SubscriptionManager in en klik op de knop Weergeven om een serveradres aan de instelling toe te voegen. Voeg ten minste één instelling toe waarmee de gebeurtenisverzamelaarcomputer wordt opgegeven. Het venster SubscriptionManager-eigenschappen bevat een tabblad Uitleg waarin de syntaxis voor de instelling wordt beschreven.
Nadat de SubscriptionManager-instelling is toegevoegd, voert u de volgende opdracht uit om ervoor te zorgen dat het beleid wordt toegepast:
gpupdate /force
De gebeurtenisverzamelaarcomputer configureren
Voer de volgende opdracht uit vanaf een opdrachtprompt met verhoogde bevoegdheden op de Windows Server-domeincontroller om Windows Remote Management te configureren:
winrm qc -q
Voer de volgende opdracht uit om de Event Collector-service te configureren:
wecutil qc /q
Maak een door de bron geïnitieerd abonnement. Dit kan programmatisch worden gedaan, met behulp van de Event Viewer of met behulp van Wecutil.exe. Zie het codevoorbeeld in Een door bron geïnitieerd abonnement makenvoor meer informatie over het programmatisch maken van het abonnement. Als u Wecutil.exegebruikt, moet u een XML-bestand voor een gebeurtenisabonnement maken en de volgende opdracht gebruiken:
wecutil csconfigurationFile.xml
De volgende XML is een voorbeeld van de inhoud van een abonnementsconfiguratiebestand waarmee een door de bron geïnitieerd abonnement wordt gemaakt om gebeurtenissen uit het gebeurtenislogboek van de toepassing van een externe computer door te sturen naar het logboek ForwardedEvents op de gebeurtenisverzamelaarcomputer.
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleSISubscription</SubscriptionId> <SubscriptionType>SourceInitiated</SubscriptionType> <Description>Source Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>1</MaxItems> <MaxLatencyTime>1000</MaxLatencyTime> </Batching> <PushSettings> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2018-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>Event[System/EventID='999']</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>true</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers> <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers> </Subscription>Notitie
Bij het maken van een door bron geïnitieerd abonnement, als AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList en DeniedSubjectList allemaal leeg zijn, dan 'O:NSG:NSD:(A;; GA;;; DC)(A;; GA;;; NS)" wordt gebruikt als de standaardbeveiligingsdescriptor voor AllowedSourceDomainComputers. De standaarddescriptor verleent leden van de domeingroep Domeincomputers, evenals de lokale netwerkservicegroep (voor de lokale doorstuurserver), de mogelijkheid om gebeurtenissen voor dit abonnement te genereren.
Controleren of het abonnement correct werkt
Voer op de gebeurtenisverzamelaarcomputer de volgende stappen uit:
Voer de volgende opdracht uit vanaf een opdrachtprompt met verhoogde bevoegdheden op de Windows Server-domeincontroller om de runtimestatus van het abonnement op te halen:
wecutil gr<subscriptionID>
Controleer of de gebeurtenisbron is verbonden. Mogelijk moet u wachten totdat het vernieuwingsinterval dat is opgegeven in het beleid voorbij is nadat u het abonnement hebt gemaakt voordat de gebeurtenisbron is verbonden.
Voer de volgende opdracht uit om de abonnementsgegevens op te halen:
wecutil gs<abonnementID>
Haal de DeliveryMaxItems-waarde op uit de abonnementsgegevens.
Geef op de computer van de gebeurtenisbron de gebeurtenissen op die overeenkomen met de query uit het gebeurtenisabonnement. Het DeliveryMaxItems-aantal gebeurtenissen moet worden gegenereerd om de gebeurtenissen te kunnen doorsturen.
Controleer op de computer van de gebeurtenisverzamelaar of de gebeurtenissen zijn doorgestuurd naar het logboek ForwardedEvents of naar het logboek dat is opgegeven in het abonnement.
Het beveiligingslogboek doorsturen
Als u het beveiligingslogboek wilt kunnen doorsturen, moet u het NETWORK SERVICE-account toevoegen aan de groep EventLog Readers.
Een door bron geïnitieerd abonnement instellen waarbij de gebeurtenisbronnen zich niet in hetzelfde domein bevinden als de gebeurtenisverzamelaarcomputer
Notitie
In deze instructies wordt ervan uitgegaan dat u beheerderstoegang hebt tot een Windows Server-domeincontroller. Aangezien de externe gebeurtenisverzamelaarcomputer of computer(s) zich niet in het domein bevinden dat door de domeincontroller wordt bediend, is het essentieel om een afzonderlijke client te starten door Windows Remote Management in te stellen op 'automatisch' met behulp van Services (services.msc). U kunt ook 'winrm quickconfig' uitvoeren op elke externe client.
Aan de volgende vereisten moet worden voldaan voordat het abonnement wordt gemaakt.
Voer op de computer van de gebeurtenisverzamelaar de volgende opdrachten uit vanaf een opdrachtprompt met verhoogde bevoegdheden om Windows Remote Management en de Event Collector-service te configureren:
winrm qc -q
wecutil qc /q
De collectorcomputer moet een serververificatiecertificaat (certificaat met serververificatiedoel) hebben in een certificaatarchief van een lokale computer.
Voer op de gebeurtenisbroncomputer de volgende opdracht uit om Windows Remote Management te configureren:
winrm qc -q
De broncomputer moet een certificaat voor clientverificatie (certificaat met clientverificatiedoel) hebben in een certificaatarchief van een lokale computer.
Poort 5986 wordt geopend op de gebeurtenisverzamelaarcomputer. Voer de opdracht uit om deze poort te openen:
netsh firewall poortopening TCP 5986 "Winrm HTTPS Remote Management" toevoegen
Vereisten voor certificaten
Er moet een serververificatiecertificaat worden geïnstalleerd op de Event Collector computer in de persoonlijke opslag van de lokale computer. Het onderwerp van dit certificaat moet overeenkomen met de FQDN van de collector.
Er moet een clientverificatiecertificaat worden geïnstalleerd op de gebeurtenisbroncomputers in het persoonlijke archief van de lokale computer. Het onderwerp van dit certificaat moet overeenkomen met de FQDN van de computer.
Als het clientcertificaat is uitgegeven door een andere certificeringsinstantie dan de gebeurtenisverzamelaar, moeten die basis- en tussencertificaten ook op de gebeurtenisverzamelaar worden geïnstalleerd.
Als het clientcertificaat is uitgegeven door een tussenliggende certificeringsinstantie en de collector Windows 2012 of hoger uitvoert, moet u de volgende registersleutel configureren:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2
Controleer of zowel de server als de client de intrekkingsstatus op alle certificaten kunnen controleren. Het gebruik van de certutil opdracht kan helpen bij het oplossen van eventuele fouten.
Meer informatie vindt u in dit artikel: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx
Stel de listener in op de gebeurtenisverzamelaar
Stel de certificaatverificatie in met de volgende opdracht:
winrm set winrm/config/service/auth '@{Certificate="true"}'
Er moet een WinRM HTTPS-listener met de vingerafdruk van het serververificatiecertificaat aanwezig zijn op de computer van de gebeurtenisverzamelaar. Dit kan worden gecontroleerd met de volgende opdracht:
winrm e winrm/config/listener
Als u de HTTPS-listener niet ziet of als de vingerafdruk van de HTTPS-listener niet hetzelfde is als de vingerafdruk van het serververificatiecertificaat op de collectorcomputer, kunt u die listener verwijderen en een nieuwe maken met de juiste vingerafdruk. Gebruik de volgende opdracht om de https-listener te verwijderen:
winrm verwijderen winrm/config/Listener?Adres=*+Transport=HTTPS
Gebruik de volgende opdracht om een nieuwe listener te maken:
winrm winrm/config/Listener maken? Address=*+Transport=HTTPS '@{Hostname='<FQDN van de collector>"; CertificateThumbprint="<Vingerafdruk van het serververificatiecertificaat>'}'
Certificaattoewijzing configureren op de evenementenverzamelaar
Nieuwe lokale gebruiker maken.
Maak van deze nieuwe gebruiker een lokale beheerder op de collector.
Maak de certificaattoewijzing met behulp van een certificaat dat aanwezig is in de vertrouwde basiscertificeringsinstanties of tussenliggende certificeringsinstanties van de computer.
Notitie
Dit is het certificaat van de basiscertificeringsinstanties of tussenliggende certificeringsinstanties (CA) die de certificaten hebben uitgegeven die zijn geïnstalleerd op de gebeurtenisbroncomputers (de CA direct boven het certificaat in de certificaatketen):
winrm create winrm/config/service/certmapping?Issuer=<Thumbprint van het verlenende CA-certificaat>+Subject=*+URI=* '@{UserName="<gebruikersnaam>";Password="<wachtwoord>"}' -remote:localhost
Gebruik vanuit een client de volgende opdracht om de listener en de certificaattoewijzing te testen:
winrm g winrm/config -r:https://<Event Collector FQDN>:5986 -a:certificate -certificate:"<Vingerafdruk van het cliëntauthenticatiecertificaat>"
Hiermee wordt de WinRM-configuratie van de gebeurtenisverzamelaar geretourneerd. Niet verdergaan met deze stap als de configuratie niet wordt weergegeven.
Wat gebeurt er in deze stap?
- De client maakt verbinding met de gebeurtenisverzamelaar en verzendt het opgegeven certificaat.
- De gebeurtenisverzamelaar zoekt naar de verlenende CA en controleert of het een overeenkomende certificaattoewijzing is.
- Event Collector valideert de status van de clientcertificaatketen en intrekkingen.
- Als deze stappen slagen, is de verificatie voltooid.
Notitie
Mogelijk zou u een foutmelding krijgen met de melding toegang-geweigerd, klagend over de verificatiemethode, wat misleidend kan zijn. Als u problemen wilt oplossen, controleert u het CAPI-logboek op de gebeurtenisverzamelaar.
- Geef de geconfigureerde certmapping-vermeldingen weer met de opdracht: winrm enum winrm/config/service/certmapping
Notitie
De lokale gebruiker die in stap 1 is gemaakt, wordt nooit gebruikt om de gebruiker die verbinding maakt via certificaatverificatie te imiteren in een EventLog Forwarding-scenario en kan daarna worden verwijderd. Als u van plan bent om certificaatverificatie in een ander scenario te gebruiken, zoals Remote Powershell, verwijdert u de lokale gebruiker niet.
Configuratie van gebeurtenisbroncomputer
Meld u aan met een beheerdersaccount en open de editor voor lokaal groepsbeleid (gpedit.msc)
Navigeer naar het lokale computerbeleid\Computerconfiguratie\Beheersjablonen\Windows-onderdelen\Event Forwarding.
Open Het serveradres, het vernieuwingsinterval en de certificeringsinstantie van een doelabonnementbeheerder configureren.
Schakel het beleid in en klik op SubscriptionManagers 'Weergeven...' knoop.
Voer in het venster SubscriptionManagers de volgende tekenreeks in:
Server=HTTPS://<FQDN van de Event Collector-server>:5986/wsman/SubscriptionManager/WEC,Refresh=<Vernieuwingsinterval in seconden>,IssuerCA=<vingerafdruk van het verlenende CA-certificaat>
Voer de volgende opdrachtregel uit om instellingen voor lokaal groepsbeleid te vernieuwen: Gpupdate /force
Deze stappen moeten gebeurtenis 104 produceren in de Toepassingen en Dienstenlogboeken van de Event Viewer van uw broncomputer\Microsoft\Windows\Eventlog-ForwardingPlugin\Operationele log met het volgende bericht:
De doorstuurserver heeft succesvol verbinding gemaakt met de abonnementsbeheerder op adres <FQDN>, gevolgd door de gebeurtenis 100 met de melding: "Het abonnement <sub_name> is succesvol gemaakt."
Op de gebeurtenisverzamelaar geeft de runtimestatus van het abonnement nu 1 actieve computer weer.
Open het logboek van ForwardedEvents op de gebeurtenisverzamelaar en controleer of de gebeurtenissen zijn doorgestuurd vanaf de broncomputers.
Machtigingen verlenen voor de persoonlijke sleutel van het clientcertificaat op de gebeurtenisbron
- Open de certificatenbeheerconsole voor de lokale computer op de computer die als gebeurtenisbron fungeert.
- Klik met de rechtermuisknop op het clientcertificaat en vervolgens op Persoonlijke sleutels beheren.
- Ververleent leesmachtigingen aan de GEBRUIKER VAN DE NETWERKSERVICE.
Configuratie van gebeurtenisabonnement
- Open de Gebeurtenisviewer in de Gebeurtenisverzamelaar en navigeer naar de sectie Abonnementen.
- Klik met de rechtermuisknop op Abonnementen en kies 'Abonnement maken...'
- Geef een naam en een optionele beschrijving voor het nieuwe abonnement.
- Selecteer de optie Broncomputer geïnitieerd en klik op Computergroepen selecteren....
- Klik in Computergroepen op Niet-domeincomputers toevoegen... en typ de hostnaam van de gebeurtenisbron.
- Klik op Certificaten toevoegen... en voeg het certificaat toe van de certificeringsinstantie die de clientcertificaten uitverleent. U kunt klikken in Certificaat weergeven om het certificaat te valideren.
- Klik in Certificeringsinstanties op OK om het certificaat toe te voegen.
- Klik op OK als u klaar bent met het toevoegen van Computers.
- Ga terug naar de abonnementseigenschappen en klik in Gebeurtenissen selecteren...
- Configureer het queryfilter voor gebeurtenissen door de gebeurtenisniveaus, gebeurtenislogboeken of gebeurtenisbron(en), de gebeurtenis-id('s) en eventuele andere filteropties op te geven.
- Ga terug naar de abonnementseigenschappen en klik op Geavanceerd...
- Kies een van de optimalisatieopties voor het leveren van gebeurtenissen van de bron gebeurtenis naar de gebeurtenisverzamelaar of laat de standaardwaarde Normaal staan:
- bandbreedte minimaliseren: gebeurtenissen worden minder frequent geleverd om bandbreedte te besparen.
- Latentie minimaliseren: gebeurtenissen worden geleverd zodra ze optreden om de latentie van gebeurtenissen te verminderen.
- Wijzig het protocol in HTTPS en klik op OK.
- Klik op OK om het nieuwe abonnement te maken.
- Controleer de runtimestatus van het abonnement door met de rechtermuisknop te klikken en runtimestatus te kiezen