windows日志转发到服务器_windows查看日志

windows日志转发到服务器_windows查看日志配置windows日志事件转发详细教程

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

概述

事件查看器(eventvwr.msc)

Windows主要有以下三类日志记录系统事件:系统日志、应用程序日志和安全日志。

windows日志转发到服务器_windows查看日志

系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。 默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx

应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。 默认位置:%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。默认位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx

Windows WEF 环境配置

Windows Event Forwarding 在windows 2008时就已经启用,主要用于日志中心化收集和转储,好处很多。

运行条件

一台在域控中的日志收集节点 (server 端);
任意一台需要发送到日志中心节点的域内主机 (client 端);
一个域控管理员权限用户;
Client 端的日志读取账户权限需要开启network services 权限;
server端开启Windows远程管理(WinRM),同时让接收器拥有在源服务器上读取Event Log的权限。
防火墙对域内的5985/5986端口白名单,用于日志传输。

我的环境 client PC名 AD,server PC名 tony-PC。

下面这一步不确定是否是必须项(我配置了):

windows日志转发到服务器_windows查看日志

windows 的日志转发有两种方式:

收集器已启动;

源计算机已启动。

笔者只测试过第二种方法:源计算机已启动,好处是只需要开启域控到收集端的访问,无需在域控中添加账户。一旦收集端出现安全风险,在防火墙配置正确的前提下,也不会影响任何域控。

配置方法

client 日志发送方

server 日志收集方

Client 端配置

1.Client 的 security log 权限查询和添加

管理员权限运行如下命令:

wevtutil gl security

windows日志转发到服务器_windows查看日志

该命令是用于检查security 日志读取权限是否允许network service 读取。

返回应该是如下内容则配置成功:

PS C:Windowssystem32>  wevtutil gl security
...
channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;NS)

如果缺少 (A;;0x1;;;NS) 表示network service 权限没有加到security 日志项中。需要单独添加,追加 network service权限。

Client 的 security 日志的 network 权限添加:

组策略(gpedit.msc) -> 计算机配置 -> 管理模板 -> windows 组件 -> 事件日志服务器 -> 安全-> 配置日志访问

然后双击后,选择已启用,将 wevtutil gl security 中的值和(A;;0x1;;;NS)加入到配置项中 ,如

O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;NS)

windows日志转发到服务器_windows查看日志

(也有人将组策略(gpedit.msc) -> 计算机配置 -> 管理模板 -> windows 组件 -> 事件日志服务器 -> 安全-> 配置日志访问(旧版)一并配置成上面的值,影响不大,可选)

2.Client 的发送目标配置

组策略-> 计算机配置 -> 管理模板 -> windows 组件 -> 事件转发 -> 配置目标订阅管理器(即就是我们的server端地址)

选择已启用,并输入:

Server=http://tony-PC.lmrsec.com:5985/wsman/SubscriptionManager/WEC

windows日志转发到服务器_windows查看日志

这里FQDN指server机器PC名。

Server 端配置

1.打开日志收集项

使用管理员权限打开powershell 或cmd ,运行winrm qcWinRM 服务,并激活日志收集项:

windows日志转发到服务器_windows查看日志

2.配置日志接收项和接收的计算机

打开事件查看器(eventvwr.msc),并选择左侧订阅:

windows日志转发到服务器_windows查看日志

点击创建订阅:

windows日志转发到服务器_windows查看日志

 windows日志转发到服务器_windows查看日志

输入域内client机器的计算机名

windows日志转发到服务器_windows查看日志

windows日志转发到服务器_windows查看日志

 windows日志转发到服务器_windows查看日志

添加要过滤的事件id:

windows日志转发到服务器_windows查看日志

等待一段时间,在 事件查看器-转发事件 查看,就有数据了。

windows日志转发到服务器_windows查看日志

windows日志转发到服务器_windows查看日志

reference

SIEM中心日志节点WEF搭建说明

配置 Windows 事件转发

构建windows 日志收集服务器

后记

1.配置完成后间隔多久会监控到转发过来的日志,这个时间不确定,如果 在“事件管理-转发事件”里,点击了 “清除日志”,则可能等待更长时间才出现日志。需要检查要转发日志的主机时间是否和当前时间一致。

“事件管理-转发事件”里还有一个功能,“筛选当前日志”,可以根据日志类型筛选。

2.后续转发过来的日志,如何分析,如何再次转发到安全设备,也是一个问题。

3.相关的订阅流量是加密的:

windows日志转发到服务器_windows查看日志

4.如果想发送到域外主机,用证书也可以实现。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/195942.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • 区位基尼系数_基尼系数直接计算法

    区位基尼系数_基尼系数直接计算法转载于:http://blog.sciencenet.cn/blog-3376208-1093109.html区域经济研究中,经常需要测度产业空间集中的程度,常用的指标有区位基尼系数(LocationalGiniCoefficient)、泰尔指数(TheilIndex)和EG指数等。这一期先讲区位基尼系数的计算方法及其实现函数,后几期再陆续介绍泰尔指数和EG指数。用Excel算区位基尼系数,尽管也可实现,但非常笨拙,而且可重复性差。然而,其计算方法是非常简单的,用R语言写一个函数来实现之,犹如杀

    2022年10月13日
  • CentOS7 yum 安装 maven「建议收藏」

    CentOS7 yum 安装 maven「建议收藏」CentOS-7yum安装mavenCentOS-7设置为阿里云yum源rm-rf/etc/yum.repos.d/*curl-o/etc/yum.repos.d/Centos-7.repohttp://mirrors.aliyun.com/repo/Centos-7.repocurl-o/etc/yum.repos.d/epel-7.repohttp://mirrors.aliyun.com/repo/epel-7.repo安装mavenyum-yinsta.

  • SpringBoot – 加载配置文件的实现方式[通俗易懂]

    SpringBoot – 加载配置文件的实现方式[通俗易懂]1、简介在实际的项目开发过程中,我们经常需要将某些变量从代码里面抽离出来,放在配置文件里面,以便更加统一、灵活的管理服务配置信息。比如,数据库、eureka、zookeeper、redis、mq、kafka等服务组件的连接参数配置,还有我们自定义的项目参数配置变量。当然,实际上根据当前的业务需求,我们往往会自定义参数,然后注入到代码里面去,以便灵活使用!今天,我们就一起来聊一聊SpringBoot加载配置文件的几种玩法,如果有遗漏,欢迎留言!SpringBoot项目在启用时:首先会默

  • Crontab定时任务配置

    Crontab定时任务配置一、开启crontab1.查看crontab是否启动sudolaunchctllist|grepcron2.检查需要的文件ls-al/etc/crontab3.如果crontab文件不存在则创建sudotouch/etc/crontab上述操作完成之后就可以正常使用crontab啦二、crontab服务开启、关闭1.开启su…

    2022年10月22日
  • 自定义单选框样式方法

    自定义单选框样式方法元素的初始样式都不怎么好看,我们一般修改样式会想到直接在那元素上添加样式,比如background、border等,在大多数元素上是可以这么做,但当遇上了单选框会毫无反应。例:<!DOCTYPEhtml><htmllang="en"><head><metacharset="UTF

  • java销售管理系统_图书销售管理系统Java源代码

    java销售管理系统_图书销售管理系统Java源代码【实例简介】图书销售管理系统,内含源代码,项目需求分析,编写思路【实例截图】【核心代码】BookSaleManagementSystem└──BookSaleManagementSystem├──bin│├──com││└──pb││├──authority│││├──impl││││├──…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号