Настройка подписки, инициируемой источником
Подписки, инициированные источником, позволяют определять подписку на компьютере сборщика событий без определения исходных компьютеров событий, а затем несколько удаленных исходных компьютеров событий можно настроить (с помощью параметра групповой политики) для пересылки событий на компьютер сборщика событий. Это отличается от подписки, инициированной сборщиком, так как в модели подписки, инициированной сборщиком событий, необходимо определить все источники событий в подписке на события.
При настройке подписки, инициируемой источником, следует учитывать, находятся ли компьютеры-источники событий в том же домене, что и компьютер-сборщик событий. В следующих разделах описаны шаги, которые необходимо выполнить, когда источники событий находятся в том же домене или в другом домене, что и компьютер сборщика событий.
Заметка
Любой компьютер в домене, локальном или удаленном, может быть сборщиком событий. Однако при выборе сборщика событий важно выбрать компьютер, который топологионно близок к тому, где будет создано большинство событий. Отправка событий на компьютер в удаленном сетевом расположении в глобальной сети может снизить общую производительность и эффективность сбора событий.
Настройка исходной подписки, в которой источники событий находятся в том же домене, что и компьютер сборщика событий.
Компьютеры-источники событий и компьютер-сборщик событий должны быть настроены для создания подписки, инициированной источником.
Заметка
В этих инструкциях предполагается, что у вас есть доступ администратора к контроллеру домена Windows Server, обслуживающего домен, в котором удаленный компьютер или компьютеры будут настроены для сбора событий.
Настройка исходного компьютера события
Выполните следующую команду из командной строки с повышенными привилегиями на контроллере домена Windows Server, чтобы настроить удаленное управление Windows:
winrm qc -q
Запустите групповую политику, выполнив следующую команду:
%SYSTEMROOT%\System32\gpedit.msc
В узле конфигурации компьютера разверните узел административных шаблонов, а затем разверните узел компонентов Windows, а затем выберите узел пересылки событий.
Щелкните правой кнопкой мыши параметр SubscriptionManager и выберите Свойства. Включите настройку SubscriptionManager и нажмите кнопку Показать, чтобы добавить адрес сервера в настройки. Добавьте по крайней мере один параметр, указывающий компьютер сборщика событий. В окне свойств subscriptionManager содержится вкладка "Объяснить", описывающая синтаксис параметра.
После добавления параметра SubscriptionManager выполните следующую команду, чтобы убедиться, что политика применяется:
gpupdate /force
Настройка компьютера сборщика событий
Выполните следующую команду из командной строки с повышенными привилегиями на контроллере домена Windows Server, чтобы настроить удаленное управление Windows:
winrm qc -q
Выполните следующую команду, чтобы настроить службу сборщика событий:
wecutil qc /q
Создайте подписку, инициированную источником. Это можно сделать программным способом с помощью средства просмотра событий или с помощью Wecutil.exe. Дополнительные сведения о том, как программно создать подписку, см. в примере кода в разделе Создание инициированной источником подписки. При использовании Wecutil.exeнеобходимо создать XML-файл подписки на события и использовать следующую команду:
wecutil csconfigurationFile.xml
Следующий XML является примером содержимого файла конфигурации подписки, создающего подписку, инициируемую источником, для пересылки событий из журнала событий приложения удаленного компьютера в журнал ForwardedEvents на компьютере сборщика событий.
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleSISubscription</SubscriptionId> <SubscriptionType>SourceInitiated</SubscriptionType> <Description>Source Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>1</MaxItems> <MaxLatencyTime>1000</MaxLatencyTime> </Batching> <PushSettings> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2018-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>Event[System/EventID='999']</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>true</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers> <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers> </Subscription>Заметка
При создании подписки, инициируемой исходным источником, если AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList и DeniedSubjectList пусты, то "O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)" используется в качестве дескриптора безопасности по умолчанию для AllowedSourceDomainComputers. Дескриптор по умолчанию предоставляет членам группы "Компьютеры домена" и группе "Локальная сетевая служба" (для локального перенаправителя) возможность вызывать события для этой подписки.
Проверка правильности работы подписки
На компьютере сборщика событий выполните следующие действия.
Выполните следующую команду из командной строки с повышенными привилегиями на контроллере домена Windows Server, чтобы получить состояние среды выполнения подписки:
wecutil gr<subscriptionID>
Убедитесь, что источник событий подключен. Возможно, потребуется подождать, пока интервал обновления, указанный в политике, будет закончен после создания подписки для подключения источника событий.
Выполните следующую команду, чтобы получить сведения о подписке:
wecutil gs<subscriptionID>
Получите значение DeliveryMaxItems из сведений о подписке.
На компьютере-источнике событий вызовите события, которые соответствуют запросу из подписки на события. Число событий DeliveryMaxItems должно быть поднято для переадресации событий.
На компьютере сборщика событий убедитесь, что события были перенаправлены в журнал ForwardedEvents или в журнал, указанный по подписке.
Пересылка журнала безопасности
Чтобы перенаправить журнал безопасности, необходимо добавить учетную запись NETWORK SERVICE в группу читателей журнала событий.
Настройка исходной подписки, в которой источники событий не находятся в том же домене, что и компьютер сборщика событий.
Заметка
В этих инструкциях предполагается, что у вас есть доступ администратора к контроллеру домена Windows Server. В этом случае, так как один или несколько компьютеров удаленного сборщика событий не находятся в домене, обслуживаемом контроллером домена, необходимо запустить индивидуальный клиент, установив в службах (services.msc) для Windows Управление удалённым доступом режим "автоматически". Кроме того, вы можете запустить команду winrm quickconfig на каждом удаленном клиенте.
Перед созданием подписки необходимо выполнить следующие предварительные требования.
На компьютере сборщика событий выполните следующие команды из командной строки с повышенными привилегиями, чтобы настроить удаленное управление Windows и службу сборщика событий:
winrm qc -q
wecutil qc /q
Компьютер сборщика должен иметь сертификат проверки подлинности сервера (сертификат с целью проверки подлинности сервера) в хранилище сертификатов локального компьютера.
На исходном компьютере события выполните следующую команду, чтобы настроить удаленное управление Windows:
winrm qc -q
Исходный компьютер должен иметь сертификат проверки подлинности клиента (сертификат с целью проверки подлинности клиента) в локальном хранилище сертификатов компьютера.
На компьютере сборщика событий открыт порт 5986. Чтобы открыть этот порт, выполните команду:
брандмауэр netsh добавляет tcp 5986 "Удаленное управление Winrm HTTPS"
Требования к сертификатам
Сертификат проверки подлинности сервера должен быть установлен на компьютере сборщика событий в личном хранилище локального компьютера. Субъект этого сертификата должен соответствовать полному доменному имени сборщика.
Сертификат проверки подлинности клиента должен быть установлен на компьютерах источника событий в личном хранилище локального компьютера. Субъект этого сертификата должен соответствовать полному доменному имени компьютера.
Если сертификат клиента выдан другим центром сертификации, чем один из сборщиков событий, то эти корневые и промежуточные сертификаты также должны быть установлены на сборщике событий.
Если сертификат клиента был выдан промежуточным центром сертификации, а сборщик работает под управлением Windows Server 2012 или более поздней версии, необходимо настроить следующий ключ реестра.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2
Убедитесь, что сервер и клиент могут успешно проверить состояние отзыва на всех сертификатах. Использование команды certutil может помочь в устранении ошибок.
Дополнительные сведения в этой статье: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx
Настройте прослушиватель на сборщике событий
Задайте проверку подлинности сертификата с помощью следующей команды:
winrm set winrm/config/service/auth "@{Certificate="true"}"
Прослушиватель HTTPS WinRM с отпечатком сертификата проверки подлинности сервера должен существовать на компьютере сборщика событий. Это можно проверить с помощью следующей команды:
winrm e winrm/config/прослушиватель
Если вы не видите прослушиватель HTTPS, или если отпечаток прослушивателя HTTPS не совпадает с отпечатком сертификата проверки подлинности сервера на компьютере сборщика, вы можете удалить этот прослушиватель и создать его с правильным отпечатком. Чтобы удалить прослушиватель https, используйте следующую команду:
winrm delete winrm/config/Listener?Address=*+Transport=HTTPS
Чтобы создать прослушиватель, используйте следующую команду:
winrm create winrm/config/Listener?Address=*+Transport=HTTPS '@{Hostname="<полное доменное имя сборщика>";CertificateThumbprint="<печать сертификата проверки подлинности сервера>"}'
Настроить сопоставление сертификатов на сборщике событий
Создайте локального пользователя.
Сделайте этого нового пользователя локальным администратором в сборщике.
Создайте сопоставление сертификатов с помощью сертификата, который присутствует в доверенных корневых центрах сертификации или промежуточных центрах сертификации компьютера.
Заметка
Это сертификат корневых или промежуточных центров сертификации (ЦС), выдавшего сертификаты, установленные на компьютерах источника событий (ЦС непосредственно над сертификатом в цепочке сертификатов):
winrm create winrm/config/service/certmapping?Issuer=<Thumbprint выданного сертификата ЦС>+Subject=*+URI=* '@{UserName="<username>";Password="<password>"}' -remote:localhost
В клиенте используйте следующую команду, чтобы проверить прослушиватель и сопоставление сертификатов:
winrm g winrm/config -r:https://<полное доменное имя сборщика событий>:5986 -a:certificate -certificate:"<отпечатк сертификата проверки подлинности клиента>"
Это должно возвращать конфигурацию WinRM сборщика событий. не перемещаться мимо этого шага, если конфигурация не отображается.
Что происходит на этом шаге?
- Клиент подключается к сборщику событий и отправляет указанный сертификат.
- Сборщик событий ищет выдающий центр сертификации (ЦС) и проверяет, есть ли соответствующее сопоставление сертификатов.
- Сборщик событий проверяет цепочку сертификатов клиента и статус их аннулирования.
- Если эти действия выполнены успешно, проверка подлинности завершена.
Заметка
Вы можете получить ошибку с отказом в доступе, жалуясь на метод проверки подлинности, который может вводить в заблуждение. Чтобы устранить неполадки, проверьте журнал CAPI в сборщике событий.
- Перечислите настроенные записи certmapping с помощью команды: winrm enum winrm/config/service/certmapping
Заметка
Локальный пользователь, созданный на шаге 1, никогда не используется для олицетворения пользователя, подключающегося через проверку подлинности сертификата в сценарии пересылки EventLog, и его можно удалить после этого. Если вы планируете использовать проверку подлинности сертификатов в другом сценарии, например Remote PowerShell, не удаляйте локального пользователя.
Конфигурация исходного компьютера события
Войдите в систему с учетной записью администратора и откройте редактор локальной групповой политики (gpedit.msc)
Перейдите к политике локального компьютера\Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Пересылка событий.
Откройте политику "Настройка адреса сервера, интервала обновления и центра сертификации издателя для целевого Диспетчера подписок".
Включите политику и нажмите кнопку "Показать..." в SubscriptionManagers.
В окне SubscriptionManagers введите следующую строку:
Server=HTTPS://<FQDN сервера сборщика событий>:5986/wsman/SubscriptionManager/WEC,Refresh=<Интервал обновления в секундах>,IssuerCA=<Отпечаток сертификата выдавшего ЦС>
Выполните следующую командную строку, чтобы обновить параметры локальной групповой политики:Gpupdate /force
Эти действия должны создать событие 104 в приложениях и службах средства просмотра событий на исходном компьютере\Microsoft\Windows\Eventlog-ForwardingPlugin\Операционный журнал со следующим сообщением:
Пересылщик успешно подключен к диспетчеру подписок по адресу <полное доменное имя>с событием 100 и сообщением: "Подписка <sub_name> создана успешно".
На коллекторе событий статус выполнения подписки теперь покажет 1 активный компьютер.
Откройте журнал ForwardedEvents на сборщике событий и проверьте, поступили ли события из исходных компьютеров.
Предоставление разрешения на закрытый ключ сертификата клиента в источнике событий
- Откройте консоль управления сертификатами для локального компьютера на исходном компьютере события.
- Щелкните правой кнопкой мыши сертификат клиента, затем выберите «Управление закрытыми ключами».
- Предоставьте пользователю NETWORK SERVICE разрешение на чтение.
Конфигурация подписки на события
- Откройте средство просмотра событий в сборщике событий и перейдите к узлу подписок.
- Щелкните правой кнопкой мыши подписки и выберите "Создать подписку..."
- Укажите имя и необязательное описание новой подписки.
- Выберите опцию "Инициировано исходным компьютером" и нажмите "Выбрать группы компьютеров...".
- В группах компьютеров щелкните «Добавить компьютеры, не принадлежащие домену...» и введите имя узла источника события.
- Нажмите кнопку "Добавить сертификаты..." и добавьте сертификат центра сертификации, который выдает сертификаты клиента. Чтобы проверить сертификат, щелкните "Просмотреть сертификат".
- В центрах сертификации нажмите кнопку "ОК", чтобы добавить сертификат.
- После завершения добавления компьютеров нажмите кнопку "ОК".
- Вернитесь к свойствам подписки, щелкните "Выбрать события" ...
- Настройте фильтр запросов событий, указав уровни событий, журналы событий или источники событий, идентификаторы событий и другие параметры фильтрации.
- Вернитесь к свойствам подписки, нажмите кнопку "Дополнительно" ...
- Выберите один из вариантов оптимизации доставки событий из исходного события в сборщик событий или оставьте стандартный режим по умолчанию:
- Сокращение использования пропускной способности: события будут доставляться с меньшей частотой для экономии пропускной способности.
- свести к минимуму задержку: события будут доставляться сразу после их возникновения, чтобы уменьшить задержку.
- Измените протокол на HTTPS и нажмите кнопку "ОК".
- Нажмите кнопку "ОК", чтобы создать новую подписку.
- Проверьте состояние среды выполнения подписки, щелкнув правой кнопкой мыши и выбрав "Состояние среды выполнения"