Dela via

Konfigurera en källinitierad prenumeration

  • Artikel

Med källinitierade prenumerationer kan du definiera en prenumeration på en händelseinsamlardator utan att definiera händelsekällans datorer, och sedan kan flera fjärranslutna källdatorer konfigureras (med en grupprincipinställning) för att vidarebefordra händelser till händelseinsamlarens dator. Detta skiljer sig från en insamlarinitierad prenumeration eftersom händelseinsamlaren i den insamlarinitierade prenumerationsmodellen måste definiera alla händelsekällor i händelseprenumerationen.

När du konfigurerar en källinitierad prenumeration bör du överväga om händelsekällans datorer finns i samma domän som händelseinsamlarens dator. I följande avsnitt beskrivs de steg som ska följas när händelsekällorna finns i samma domän eller inte i samma domän som händelseinsamlarens dator.

Notis

Alla datorer i en domän, lokala eller fjärranslutna, kan vara en händelseinsamlare. Men när du väljer en händelseinsamlare är det viktigt att välja en dator som är topologiskt nära där majoriteten av händelserna kommer att genereras. Att skicka händelser till en dator på en avlägsen nätverksplats i ett WAN kan minska den övergripande prestandan och effektiviteten i händelseinsamlingen.

Konfigurera en källinitierad prenumeration där händelsekällorna finns i samma domän som händelseinsamlarens dator

Både händelsekällans datorer och händelseinsamlarens dator måste konfigureras för att konfigurera en källinitierad prenumeration.

Anteckning

Dessa instruktioner förutsätter att du har administratörsåtkomst till Windows Server-domänkontrollanten som betjänar domänen där fjärrdatorn eller datorerna ska konfigureras för att samla in händelser.

Konfigurera händelsekällans dator

  1. Kör följande kommando från en kommandotolk med förhöjd behörighet på Windows Server-domänkontrollanten för att konfigurera Windows Remote Management:

    winrm qc -q

  2. Starta grupppolicyn genom att köra följande kommando:

    %SYSTEMROOT%\System32\gpedit.msc

  3. Under noden Datorkonfiguration expanderar du noden Administrativa mallar och expanderar sedan noden Windows-komponenter och väljer sedan noden Händelsevidarebefordring.

  4. Högerklicka på inställningen SubscriptionManager och välj Egenskaper. Aktivera inställningen SubscriptionManager och klicka på knappen Visa för att lägga till en serveradress i inställningen. Lägg till minst en inställning som anger datorn för händelseinsamlaren. Fönstret SubscriptionManager Properties innehåller fliken "Förklara" som beskriver syntaxen för inställningen.

  5. När inställningen SubscriptionManager har lagts till kör du följande kommando för att säkerställa att principen tillämpas:

    gpupdate /force

Konfigurera händelseinsamlarens dator

  1. Kör följande kommando från en kommandotolk med förhöjd behörighet på Windows Server-domänkontrollanten för att konfigurera Windows Remote Management:

    winrm qc -q

  2. Kör följande kommando för att konfigurera Event Collector-tjänsten:

    wecutil qc /q

  3. Skapa en källinitierad prenumeration. Detta kan antingen göras programmatiskt med hjälp av Loggboken eller med hjälp av Wecutil.exe. Mer information om hur du skapar prenumerationen programmatiskt finns i kodexemplet i Skapa en källinitierad prenumeration. Om du använder Wecutil.exemåste du skapa en XML-fil för händelseprenumerationen och använda följande kommando:

    wecutil csconfigurationFile.xml

    Följande XML är ett exempel på innehållet i en prenumerationskonfigurationsfil som skapar en källinitierad prenumeration för att vidarebefordra händelser från programhändelseloggen på en fjärrdator till loggen ForwardedEvents på händelseinsamlarens dator.

    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

    Not

    När du skapar en källinitierad prenumeration, om AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList och DeniedSubjectList är alla tomma, är alla "O:NSG:NSD:(A;; GA;;; DC)(A;; GA;;; NS)" används som standardsäkerhetsbeskrivning för AllowedSourceDomainComputers. Standardbeskrivningen ger medlemmar i domängruppen Domändatorer samt den lokala nätverkstjänstgruppen (för den lokala vidarebefordraren) möjlighet att skapa händelser för den här prenumerationen.

Verifiera att prenumerationen fungerar korrekt

  1. Slutför följande steg på händelseinsamlarens dator:

    1. Kör följande kommando från en kommandotolk med förhöjd behörighet på Windows Server-domänkontrollanten för att få körningsstatus för prenumerationen:

      wecutil gr<subscriptionID>

    2. Verifiera att händelsekällan har anslutits. Du kan behöva vänta tills uppdateringsintervallet som anges i principen är över när du har skapat prenumerationen för att händelsekällan ska anslutas.

    3. Kör följande kommando för att hämta prenumerationsinformationen:

      wecutil gs<subscriptionID>

    4. Hämta värdet DeliveryMaxItems från prenumerationsinformationen.

  2. På händelsekällans dator genererar du de händelser som matchar frågan från händelseprenumerationen. DeliveryMaxItems-antalet händelser måste aktiveras för att händelserna ska vidarebefordras.

  3. På händelseinsamlarens dator kontrollerar du att händelserna har vidarebefordrats till loggen ForwardedEvents eller till loggen som anges i prenumerationen.

Vidarebefordra säkerhetsloggen

För att kunna vidarebefordra säkerhetsloggen måste du lägga till NETWORK SERVICE-kontot i gruppen EventLog-läsare.

Konfigurera en källinitierad prenumeration där händelsekällorna inte finns i samma domän som händelseinsamlarens dator

Not

Dessa instruktioner förutsätter att du har administratörsåtkomst till en Windows Server-domänkontrollant. I det här fallet, eftersom fjärrhändelseinsamlarens dator eller datorer inte finns i domänen som hanteras av domänkontrollanten, är det viktigt att starta en enskild klient genom att ställa in Windows Remote Management på "automatisk" med hjälp av tjänster (services.msc). Du kan också köra "winrm quickconfig" på varje fjärrklient.

Följande krav måste uppfyllas innan prenumerationen skapas.

  1. På händelseinsamlarens dator kör du följande kommandon från en kommandotolk med utökade privilegier för att konfigurera Windows Remote Management och tjänsten Händelseinsamlare:

    winrm qc -q

    wecutil qc /q

  2. Insamlande dator ska ha ett certifikat för serverautentisering (certifikat med syfte för serverautentisering) i ett lokalt certifikatlager för dator.

  3. På händelsekälldatorn kör du följande kommando för att konfigurera Windows Remote Management:

    winrm qc -q

  4. Källdatorn ska ha ett certifikat för klientautentisering (certifikat med klientautentiseringssyfte) i ett lokalt datorcertifikatarkiv .

  5. Port 5986 öppnas på händelseinsamlarens dator. Öppna den här porten genom att köra kommandot:

    netsh brandvägg lägg till portöppning TCP 5986 "Winrm HTTPS Remote Management"

Certifikatkrav

  • Ett serverautentiseringscertifikat måste installeras på händelseinsamlardatorn i den personliga lagringsplatsen på den lokala datorn. Certifikatets ämne måste matcha insamlarens FQDN.

  • Ett certifikat för klientautentisering måste installeras på Event Source-datorerna i användarcertifikatarkivet på den lokala datorn. Certifikatets ämne måste matcha datorns fullständiga domännamn.

  • Om klientcertifikatet har utfärdats av en annan certifikatutfärdare än en av händelseinsamlaren måste även dessa rot- och mellanliggande certifikat installeras på händelseinsamlaren.

  • Om klientcertifikatet har utfärdats av en mellanliggande certifikatutfärdare och insamlaren kör Windows 2012 eller senare måste du konfigurera följande registernyckel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2

  • Kontrollera att både servern och klienten kan kontrollera återkallningsstatusen för alla certifikat. Användning av kommandot certutil kan hjälpa dig att felsöka eventuella fel.

Mer information finns i den här artikeln: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx

Konfigurera lyssnaren på händelseinsamlaren

  1. Ange certifikatautentiseringen med följande kommando:

    winrm set winrm/config/service/auth '@{Certificate="true"}'

  2. En WinRM HTTPS-lyssnare med certifikatets fingeravtryck för serverautentisering bör finnas på händelsesamlarens dator. Detta kan verifieras med följande kommando:

    winrm e winrm/config/listener

  3. Om du inte ser HTTPS-lyssnaren, eller om HTTPS-lyssnarens tumavtryck inte är detsamma som tumavtrycket för serverautentiseringscertifikatet på insamlard dator, kan du ta bort lyssnaren och skapa en ny med rätt tumavtryck. Om du vill ta bort https-lyssnaren använder du följande kommando:

    winrm delete winrm/config/Listener?Address=*+Transport=HTTPS

    Använd följande kommando för att skapa en ny lyssnare:

    winrm skapa winrm/config/Listener?Address=*+Transport=HTTPS '@{Hostname="<FQDN för insamlaren>"; CertificateThumbprint="<Fingeravtryck av serverautentiseringscertifikatet>"}'

Konfigurera certifikatmappning på händelseinsamlaren

  1. Skapa en ny lokal användare.

  2. Gör den här nya användaren till lokal administratör på insamlaren.

  3. Skapa certifikatmappningen med hjälp av ett certifikat som finns i "Betrodda rotcertifikatutfärdare" eller "Mellanliggande certifikatutfärdare" på datorn.

    Notera

    Detta är certifikatet för rot- eller mellanliggande certifikatutfärdare (CA) som utfärdade certifikaten som installerades på händelsekällans datorer (certifikatutfärdaren omedelbart ovanför certifikatet i certifikatkedjan):

    winrm skapa winrm/config/service/certmapping?Utfärdare=<tumavtryck av det utfärdande CA-certifikatet>+Subject=*+URI=* '@{UserName="<användarnamn>";Password="<lösenord>"}' -remote:localhost

  4. Från en klient använder du följande kommando för att testa lyssnaren och certifikatmappningen:

    winrm g winrm/config -r:https://<Event Collector FQDN>:5986 -a:certificate -certificate:"<Tumavtryck för klientautentiseringscertifikatet>"

    Detta bör returnera WinRM-konfigurationen för händelseinsamlaren. Gå inte förbi det här steget om konfigurationen inte visas.

    Vad händer i det här steget?

    • Klienten ansluter till händelseinsamlaren och skickar det angivna certifikatet.
    • Händelseinsamlaren letar efter den utfärdande CA:n och kontrollerar om det finns en matchande certifikatmappning.
    • Händelseinsamlaren validerar klientens certifikatkedja och status för återkallanden.
    • Om de här stegen lyckas slutförs autentiseringen.

Not

Du kan få ett felmeddelande om nekad åtkomst som klagar på autentiseringsmetoden, vilket kan vara missvisande. Om du vill felsöka kontrollerar du CAPI-loggen på händelseinsamlaren.

  1. Ange de konfigurerade certmappningsposterna med kommandot: winrm enum winrm/config/service/certmapping

Not

Den lokala användare som skapades i steg 1 används aldrig för att personifiera användaren som ansluter via certifikatautentisering i ett EventLog-vidarebefordringsscenario och kan tas bort efteråt. Om du planerar att använda certifikatautentisering i ett annat scenario, till exempel Remote Powershell, ska du inte ta bort den lokala användaren.

Datorkonfiguration för händelsekälla

  1. Logga in med ett administratörskonto och öppna redigeraren för lokal grupprincip (gpedit.msc)

  2. Navigera till Lokala datorprinciper\Datorkonfiguration\Administrativa mallar\Windows-komponenter\Händelsevidarebefordran.

  3. Öppna policyn "Konfigurera serveradress, uppdateringsintervall och utfärdarens certifikatutfärdare för en målprenumerationshanterare".

  4. Aktivera principen och klicka på SubscriptionManagers "Visa..." knapp.

  5. I fönstret SubscriptionManagers anger du följande sträng:

    Server=HTTPS://<FQDN för händelseinsamlareservern>:5986/wsman/SubscriptionManager/WEC,Refresh=<Uppdateringsintervall i sekunder>,IssuerCA=<tumavtryck för det utfärdande CA-certifikatet>

  6. Kör följande kommandorad för att uppdatera inställningar för lokal grupprincip:Gpupdate /force

  7. De här stegen bör generera händelse 104 i källdatorns Loggboksprogram och tjänstloggar\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational log med följande meddelande:

    Vidarebefordraren har framgångsrikt anslutits till prenumerationshanteraren på adressen <FQDN>följt av händelse 100 med meddelandet: "Prenumerationen <sub_name> har skapats framgångsrikt."

  8. På händelseinsamlaren visas nu 1 aktiv dator i Prenumerationskörningsstatus.

  9. Öppna loggen ForwardedEvents på händelseinsamlaren och kontrollera om du har vidarebefordrat händelserna från källdatorerna.

Bevilja behörighet för den privata nyckeln för klientcertifikatet på händelsekällan

  1. Öppna certifikathanteringskonsolen för lokal maskin på händelsekällans dator.
  2. Högerklicka på klientcertifikatet och sedan på Hantera privata nycklar.
  3. Bevilja läsbehörighet till NETWORK SERVICE-användaren.

Konfiguration av händelseprenumeration

  1. Öppna Händelsevisaren för Händelseinsamlaren och navigera till noden Prenumerationer.
  2. Högerklicka på Prenumerationer och välj "Skapa prenumeration..."
  3. Ange ett namn och en valfri beskrivning för den nya prenumerationen.
  4. Välj alternativet "Källdator initierad" och klicka på "Välj datorgrupper...".
  5. I Datorgrupper klickar du på "Lägg till icke-domändatorer..." och skriv händelsekällans värdnamn.
  6. Klicka på "Lägg till certifikat..." och lägg till certifikatet för certifikatutfärdare som utfärdar klientcertifikaten. Du kan klicka på Visa certifikat för att verifiera certifikatet.
  7. I Certifikatutfärdare klickar du på OK för att lägga till certifikatet.
  8. När du har lagt till datorer, klicka på OK.
  9. Gå tillbaka till Prenumerationsegenskaper och klicka på Välj händelser...
  10. Konfigurera händelsefrågefiltret genom att ange händelsenivåer, händelseloggar eller händelsekällor, händelse-ID:er och andra filtreringsalternativ.
  11. Gå tillbaka till Prenumerationsegenskaper och klicka på Avancerat...
  12. Välj ett av optimeringsalternativen för händelseleverans från källhändelsen till händelseinsamlaren eller lämna standardvärdet Normal:
    1. Minimera bandbredden: Händelser kommer att levereras med mindre frekvens för att spara bandbredd.
    2. Minimera svarstid: Händelser levereras så snart de inträffar för att minska svarstiden för händelser.
  13. Ändra protokollet till HTTPS och klicka på OK.
  14. Klicka på OK för att skapa den nya prenumerationen.
  15. Kontrollera körningsstatusen för prenumerationen genom att högerklicka och välja "Körningsstatus"