windows日志转发到服务器_windows查看日志

windows日志转发到服务器_windows查看日志配置windows日志事件转发详细教程

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

概述

事件查看器(eventvwr.msc)

Windows主要有以下三类日志记录系统事件:系统日志、应用程序日志和安全日志。

windows日志转发到服务器_windows查看日志

系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。 默认位置: %SystemRoot%\System32\Winevt\Logs\System.evtx

应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。 默认位置:%SystemRoot%\System32\Winevt\Logs\Application.evtx

安全日志记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。安全日志也是调查取证中最常用到的日志。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。默认位置:%SystemRoot%\System32\Winevt\Logs\Security.evtx

Windows WEF 环境配置

Windows Event Forwarding 在windows 2008时就已经启用,主要用于日志中心化收集和转储,好处很多。

运行条件

一台在域控中的日志收集节点 (server 端);
任意一台需要发送到日志中心节点的域内主机 (client 端);
一个域控管理员权限用户;
Client 端的日志读取账户权限需要开启network services 权限;
server端开启Windows远程管理(WinRM),同时让接收器拥有在源服务器上读取Event Log的权限。
防火墙对域内的5985/5986端口白名单,用于日志传输。

我的环境 client PC名 AD,server PC名 tony-PC。

下面这一步不确定是否是必须项(我配置了):

windows日志转发到服务器_windows查看日志

windows 的日志转发有两种方式:

收集器已启动;

源计算机已启动。

笔者只测试过第二种方法:源计算机已启动,好处是只需要开启域控到收集端的访问,无需在域控中添加账户。一旦收集端出现安全风险,在防火墙配置正确的前提下,也不会影响任何域控。

配置方法

client 日志发送方

server 日志收集方

Client 端配置

1.Client 的 security log 权限查询和添加

管理员权限运行如下命令:

wevtutil gl security

windows日志转发到服务器_windows查看日志

该命令是用于检查security 日志读取权限是否允许network service 读取。

返回应该是如下内容则配置成功:

PS C:Windowssystem32>  wevtutil gl security
...
channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;NS)

如果缺少 (A;;0x1;;;NS) 表示network service 权限没有加到security 日志项中。需要单独添加,追加 network service权限。

Client 的 security 日志的 network 权限添加:

组策略(gpedit.msc) -> 计算机配置 -> 管理模板 -> windows 组件 -> 事件日志服务器 -> 安全-> 配置日志访问

然后双击后,选择已启用,将 wevtutil gl security 中的值和(A;;0x1;;;NS)加入到配置项中 ,如

O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;NS)

windows日志转发到服务器_windows查看日志

(也有人将组策略(gpedit.msc) -> 计算机配置 -> 管理模板 -> windows 组件 -> 事件日志服务器 -> 安全-> 配置日志访问(旧版)一并配置成上面的值,影响不大,可选)

2.Client 的发送目标配置

组策略-> 计算机配置 -> 管理模板 -> windows 组件 -> 事件转发 -> 配置目标订阅管理器(即就是我们的server端地址)

选择已启用,并输入:

Server=http://tony-PC.lmrsec.com:5985/wsman/SubscriptionManager/WEC

windows日志转发到服务器_windows查看日志

这里FQDN指server机器PC名。

Server 端配置

1.打开日志收集项

使用管理员权限打开powershell 或cmd ,运行winrm qcWinRM 服务,并激活日志收集项:

windows日志转发到服务器_windows查看日志

2.配置日志接收项和接收的计算机

打开事件查看器(eventvwr.msc),并选择左侧订阅:

windows日志转发到服务器_windows查看日志

点击创建订阅:

windows日志转发到服务器_windows查看日志

 windows日志转发到服务器_windows查看日志

输入域内client机器的计算机名

windows日志转发到服务器_windows查看日志

windows日志转发到服务器_windows查看日志

 windows日志转发到服务器_windows查看日志

添加要过滤的事件id:

windows日志转发到服务器_windows查看日志

等待一段时间,在 事件查看器-转发事件 查看,就有数据了。

windows日志转发到服务器_windows查看日志

windows日志转发到服务器_windows查看日志

reference

SIEM中心日志节点WEF搭建说明

配置 Windows 事件转发

构建windows 日志收集服务器

后记

1.配置完成后间隔多久会监控到转发过来的日志,这个时间不确定,如果 在“事件管理-转发事件”里,点击了 “清除日志”,则可能等待更长时间才出现日志。需要检查要转发日志的主机时间是否和当前时间一致。

“事件管理-转发事件”里还有一个功能,“筛选当前日志”,可以根据日志类型筛选。

2.后续转发过来的日志,如何分析,如何再次转发到安全设备,也是一个问题。

3.相关的订阅流量是加密的:

windows日志转发到服务器_windows查看日志

4.如果想发送到域外主机,用证书也可以实现。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/195942.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • pytest 执行用例_测试用例一般执行多少次

    pytest 执行用例_测试用例一般执行多少次前言平常我们功能测试用例非常多时,比如有1千条用例,假设每个用例执行需要1分钟,如果单个测试人员执行需要1000分钟才能跑完当项目非常紧急时,会需要协调多个测试资源来把任务分成两部分,于是执行时间

  • 如何使vmware虚拟机中的Redflag Linux操作系统能够上网?

    如何使vmware虚拟机中的Redflag Linux操作系统能够上网? 第一种情况:主机使用PPPOE拨号上网方法一:NAT方式1、先关闭虚拟机中的操作系统,回到虚拟机主界面双击主界面右上方的的“Ethernet”,弹出“NetworkAdapter”对话框,选择“NAT”2、启动虚拟机操作系统,设置IP为动态获取,即通过DHCP获得。此时虚拟机中的操作系统用的是主机的IP,主机能够上网,那么虚拟机也能。方法二:Host-only方式1

  • java编译环境配置

    java编译环境配置1.设置PATH环境变量右击桌面上的计算机图标,单击属性菜单项,系统显示控制面板主页,单击高级系统设置,出现系统属性对话框,再单击高级,出现如下图所示的对话框。单击环境变量按钮,将看到如下图所示的环境变量对话框,通过该对话框可以修改或添加环境变量。上图所示的对话框上面的用户变量用于设置当前用户的环境变量,系统变量用于设置整个系统的环境变量。对于windows系统而言,名为pat…

  • pycharm运行没结果_pycharm安装lxml库

    pycharm运行没结果_pycharm安装lxml库原因是用程序选择了console来运行,取消console方法如下:Run->EditConfigurations取消runwithpythonconsole的勾

  • 2019年常见的Linux面试题及答案解析,哪些你还不会?

    2019年常见的Linux面试题及答案解析,哪些你还不会?Linux面试题1、绝对路径用什么符号表示?当前目录、上层目录用什么表示?主目录用什么表示?切换目录用什么命令?2、怎么查看当前进程?怎么执行退出?怎么查看当前路径?3、怎么清屏?怎么退出当前命令?怎么执行睡眠?怎么查看当前用户id?查看指定帮助用什么命令?4、Ls命令执行什么功能?可以带哪些参数,有什么区别?5、建立软链接(快捷方式),以及硬链接的命令。6、目录创…

  • 麦克风声源定位原理_一种利用麦克风阵列进行声源定位的方法与流程

    麦克风声源定位原理_一种利用麦克风阵列进行声源定位的方法与流程本发明涉及计算机信号处理领域,具体涉及一种用麦克风阵列时延估计定位声源的方法。背景技术:20世纪80年代以来,麦克风阵列信号处理技术得到迅猛的发展,并在雷达、声纳及通信中得到广泛的应用。这种阵列信号处理的思想后来应用到语音信号处理中。在国际上将麦克风阵列系统用于语音信号处理的研究源于1970年。1976年,Gabfid将雷达和声纳中的自适应波束形成技术直接应用于简单的声音获取问题。1985年,美国…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号