Udostępnij przez

Konfigurowanie subskrypcji inicjowanej przez źródło

Subskrypcje inicjowane przez źródło umożliwiają zdefiniowanie subskrypcji na komputerze modułu zbierającego zdarzenia bez definiowania komputerów źródłowych zdarzeń, a następnie można skonfigurować wiele zdalnych komputerów źródłowych zdarzeń (przy użyciu ustawienia zasad grupy) w celu przekazywania zdarzeń do komputera modułu zbierającego zdarzenia. Różni się to od subskrypcji inicjowanej przez moduł zbierający, ponieważ w modelu subskrypcji zainicjowanym przez moduł zbierający zdarzenia moduł zbierający zdarzenia musi zdefiniować wszystkie źródła zdarzeń w subskrypcji zdarzeń.

Podczas konfigurowania subskrypcji inicjowanej przez źródło należy rozważyć, czy komputery źródłowe zdarzeń znajdują się w tej samej domenie co komputer modułu zbierającego zdarzenia. W poniższych sekcjach opisano kroki, które należy wykonać, gdy źródła zdarzeń znajdują się w tej samej domenie lub nie w tej samej domenie co komputer modułu zbierającego zdarzenia.

Notatka

Każdy komputer w domenie, lokalnej lub zdalnej, może być modułem zbierającym zdarzenia. Jednak podczas wybierania modułu zbierającego zdarzenia ważne jest, aby wybrać maszynę, która jest topologicznie zbliżona do miejsca generowania większości zdarzeń. Wysyłanie zdarzeń do maszyny w odległej lokalizacji sieciowej w sieci WAN może zmniejszyć ogólną wydajność i efektywność podczas ich zbierania.

Konfigurowanie subskrypcji inicjowanej przez źródło, w której źródła zdarzeń znajdują się w tej samej domenie co komputer modułu zbierającego zdarzenia

Zarówno komputery źródła zdarzeń, jak i komputer modułu zbierającego zdarzenia muszą być skonfigurowane tak, aby skonfigurować subskrypcję inicjowaną przez źródło.

Notatka

W tych instrukcjach przyjęto założenie, że masz dostęp administratora do kontrolera domeny systemu Windows Server obsługującego domenę, w której komputer zdalny lub komputery zostaną skonfigurowane do zbierania zdarzeń.

Konfigurowanie komputera źródłowego zdarzeń

  1. Uruchom następujące polecenie z wiersza polecenia z podwyższonym poziomem uprawnień na kontrolerze domeny systemu Windows Server, aby skonfigurować zdalne zarządzanie systemem Windows:

    winrm qc -q

  2. Uruchom zasady grupy, uruchamiając następujące polecenie:

    %SYSTEMROOT%\System32\gpedit.msc

  3. Pod węzłem Konfiguracja komputera rozwiń węzeł Szablony administracyjne, następnie rozwiń węzeł Składniki systemu Windows, a na końcu wybierz węzeł Przekazywanie zdarzeń.

  4. Kliknij prawym przyciskiem myszy ustawienie SubscriptionManager, a następnie wybierz właściwości. Włącz ustawienie SubscriptionManager, a następnie kliknij przycisk Pokaż, aby dodać adres serwera do ustawienia. Dodaj co najmniej jedno ustawienie określające komputer zbierający zdarzenia. Okno właściwości SubscriptionManager zawiera kartę Wyjaśnienia, która opisuje składnię ustawienia.

  5. Po dodaniu ustawienia SubscriptionManager uruchom następujące polecenie, aby upewnić się, że zasady są stosowane:

    gpupdate /force

Konfigurowanie komputera modułu zbierającego zdarzenia

  1. Uruchom następujące polecenie z wiersza polecenia z podwyższonym poziomem uprawnień na kontrolerze domeny systemu Windows Server, aby skonfigurować zdalne zarządzanie systemem Windows:

    winrm qc -q

  2. Uruchom następujące polecenie, aby skonfigurować usługę modułu zbierającego zdarzenia:

    wecutil qc /q

  3. Utwórz subskrypcję zainicjowaną przez źródło. Można to zrobić programowo, korzystając z Podglądu zdarzeń lub przy użyciu Wecutil.exe. Aby uzyskać więcej informacji na temat programowego tworzenia subskrypcji, zobacz przykład kodu w Tworzenie subskrypcji inicjowanej przez źródło. Jeśli używasz Wecutil.exe, musisz utworzyć plik XML subskrypcji zdarzeń i użyć następującego polecenia:

    wecutil csconfigurationFile.xml

    Poniższy kod XML to przykład zawartości pliku konfiguracji subskrypcji, który tworzy subskrypcję zainicjowaną przez źródło w celu przekazywania zdarzeń z dziennika zdarzeń aplikacji na zdalnym komputerze do dziennika ForwardedEvents na konsoli zbierającej zdarzenia.

    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

    Notatka

    Podczas tworzenia subskrypcji zainicjowanej przez źródło, jeśli AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList i DeniedSubjectList są puste, to "O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)" będzie używany jako domyślny deskryptor zabezpieczeń dla AllowedSourceDomainComputers. Domyślny deskryptor przyznaje członkom grupy Komputery w domenie, a także lokalnej grupy Usługa sieciowa (dla lokalnego przekierowywania), uprawnienia do generowania zdarzeń dla tego abonamentu.

Aby sprawdzić, czy subskrypcja działa prawidłowo

  1. Na komputerze modułu zbierającego zdarzenia wykonaj następujące czynności:

    1. Uruchom następujące polecenie z wiersza polecenia z podwyższonym poziomem uprawnień na kontrolerze domeny systemu Windows Server, aby uzyskać stan działania subskrypcji:

      wecutil gr<subscriptionID>

    2. Sprawdź, czy źródło zdarzeń zostało połączone. Może być konieczne poczekanie, aż minie okres odświeżania określony w zasadach, po utworzeniu subskrypcji, zanim źródło zdarzeń zostanie połączone.

    3. Uruchom następujące polecenie, aby uzyskać informacje o subskrypcji:

      wecutil gs<subscriptionID>

    4. Pobierz wartość DeliveryMaxItems z informacji o subskrypcji.

  2. Na komputerze będącym źródłem zdarzeń, podnieś zdarzenia zgodne z zapytaniem z subskrypcji zdarzeń. Liczba zdarzeń DeliveryMaxItems musi zostać podniesiona, aby zdarzenia zostały przekazane.

  3. Na komputerze modułu zbierającego zdarzenia sprawdź, czy zdarzenia zostały przekazane do dziennika ForwardedEvents lub do dziennika określonego w subskrypcji.

Przekazywanie dziennika zabezpieczeń

Aby móc przekazywać dziennik zabezpieczeń, musisz dodać konto NETWORK SERVICE do grupy Czytelnicy dziennika zdarzeń.

Konfigurowanie subskrypcji inicjowanej przez źródło, w której źródła zdarzeń nie znajdują się w tej samej domenie co komputer modułu zbierającego zdarzenia

Notatka

W tych instrukcjach przyjęto założenie, że masz dostęp administratora do kontrolera domeny systemu Windows Server. W takim przypadku, ponieważ zdalny komputer lub komputery zbierające zdarzenia nie znajdują się w domenie obsługiwanej przez kontroler domeny, ważne jest, aby uruchomić klienta systemowego, ustawiając Zarządzanie Zdalne Systemem Windows na "automatyczne" za pomocą narzędzia Usługi (services.msc). Alternatywnie można uruchomić polecenie "winrm quickconfig" na każdym kliencie zdalnym.

Przed utworzeniem subskrypcji należy spełnić następujące wymagania wstępne.

  1. Na komputerze modułu zbierającego zdarzenia uruchom następujące polecenia z wiersza polecenia z podwyższonym poziomem uprawnień, aby skonfigurować zdalne zarządzanie systemem Windows i usługę modułu zbierającego zdarzenia:

    winrm qc -q

    wecutil qc /q

  2. Komputer zbierający powinien mieć certyfikat uwierzytelniania serwera w lokalnym magazynie certyfikatów komputera.

  3. Na komputerze źródłowym zdarzeń uruchom następujące polecenie, aby skonfigurować zdalne zarządzanie systemem Windows:

    winrm qc -q

  4. Maszyna źródłowa powinna mieć certyfikat uwierzytelniania klienta (certyfikat mający na celu uwierzytelnianie klienta) w magazynie certyfikatów komputera lokalnego.

  5. Port 5986 jest otwarty na komputerze modułu zbierającego zdarzenia. Aby otworzyć ten port, uruchom polecenie:

    netsh firewall dodaj otwarcie portu TCP 5986 "Winrm HTTPS Remote Management"

Wymagania dotyczące certyfikatów

  • Certyfikat uwierzytelniania serwera należy zainstalować na komputerze Zbieracza Zdarzeń w magazynie osobistym lokalnej maszyny. Podmiot tego certyfikatu musi być zgodny z nazwą FQDN kolektora.

  • Certyfikat uwierzytelniania klienta musi być zainstalowany na komputerach źródła zdarzeń w magazynie osobistym komputera lokalnego. Podmiot tego certyfikatu musi być zgodny z nazwą FQDN komputera.

  • Jeśli certyfikat klienta został wystawiony przez inny urząd certyfikacji niż jeden z modułów zbierających zdarzenia, należy również zainstalować te certyfikaty główne i pośrednie w modułze zbierającym zdarzenia.

  • Jeśli certyfikat klienta został wystawiony przez pośredni urząd certyfikacji, a moduł zbierający korzysta z systemu Windows 2012 lub nowszego, należy skonfigurować następujący klucz rejestru:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2

  • Sprawdź, czy zarówno serwer, jak i klient mogą pomyślnie sprawdzić stan odwołania dla wszystkich certyfikatów. Użycie polecenia certutil może pomóc w diagnozowaniu błędów.

Więcej informacji można znaleźć w tym artykule: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx

Skonfiguruj nasłuchiwacz w kolektorze zdarzeń

  1. Ustaw uwierzytelnianie certyfikatu za pomocą następującego polecenia:

    winrm set winrm/config/service/auth "@{Certificate="true"}"

  2. Nasłuchiwacz HTTPS WinRM z odciskiem palca certyfikatu uwierzytelniania serwera powinien istnieć na komputerze kolektora zdarzeń. Można to zweryfikować za pomocą następującego polecenia:

    winrm e winrm/config/listener

  3. Jeśli odbiornik HTTPS nie jest widoczny lub odcisk palca odbiornika HTTPS nie jest taki sam jak odcisk palca certyfikatu uwierzytelniania serwera na komputerze modułu zbierającego, możesz usunąć ten odbiornik i utworzyć nowy z poprawnym odciskiem palca. Aby usunąć odbiornik https, użyj następującego polecenia:

    winrm usunąć winrm/config/Listener?Address=*+Transport=HTTPS

    Aby utworzyć nowy odbiornik, użyj następującego polecenia:

    winrm create winrm/config/Listener?Address=*+Transport=HTTPS '@{Hostname="<FQDN nazwy modułu zbierającego>";CertificateThumbprint="<odcisk palca certyfikatu uwierzytelniania serwera>"}'

Konfigurowanie mapowania certyfikatów w modułze zbierającym zdarzenia

  1. Utwórz nowego użytkownika lokalnego.

  2. Ustaw tego nowego użytkownika jako administratora lokalnego w module zbierającym.

  3. Utwórz mapowanie certyfikatu przy użyciu certyfikatu, który znajduje się w "Zaufanych głównych urzędach certyfikacji" lub "Pośrednich urzędach certyfikacji" na maszynie.

    Notatka

    Jest to certyfikat głównego lub pośredniego urzędu certyfikacji, który wystawił certyfikaty zainstalowane na komputerach źródła zdarzeń (urząd certyfikacji bezpośrednio powyżej certyfikatu w łańcuchu certyfikatów):

    winrm utworzyć winrm/config/service/certmapping? Wystawca=<odcisk palca certyfikatu wystawiającego urzędu certyfikacji>+Subject=*+URI=* '@{UserName="<nazwa użytkownika>"; Password="<hasło>"}" -remote:localhost

  4. Z poziomu klienta użyj następującego polecenia, aby przetestować odbiornik i mapowanie certyfikatu:

    winrm g winrm/config -r:https://<FQDN modułu zbierającego zdarzenia>:5986 -a:certificate -certificate:"<odcisk palca certyfikatu uwierzytelniania klienta>"

    Powinno to zwrócić konfigurację usługi WinRM modułu zbierającego zdarzenia. Nie przechodzić obok tego kroku, jeśli konfiguracja nie jest wyświetlana.

    Co się stanie w tym kroku?

    • Klient łączy się z modułem zbierającym zdarzenia i wysyła określony certyfikat.
    • Kolektor zdarzeń szuka urzędu certyfikacji (CA) i sprawdza, czy istnieje pasujące mapowanie certyfikatu.
    • Moduł zbierający zdarzenia weryfikuje łańcuch certyfikatów klienta i status unieważnień.
    • Jeśli wykonanie tych kroków zakończy się pomyślnie, uwierzytelnienie zostanie ukończone.

Nota

Może wystąpić błąd odmowy dostępu, informujący o problemie z metodą uwierzytelniania, co może być mylące. Aby rozwiązać problemy, sprawdź dziennik CAPI w kolektorze zdarzeń.

  1. Wyświetl listę skonfigurowanych wpisów certmapping za pomocą polecenia: winrm enum winrm/config/service/certmapping

Notatka

Użytkownik lokalny utworzony w kroku 1 nigdy nie jest używany do personifikacji użytkownika łączącego się za pomocą uwierzytelniania certyfikatu w scenariuszu przekazywania dzienników zdarzeń i można go usunąć później. Jeśli planujesz użyć uwierzytelniania certyfikatu w innym scenariuszu, takim jak zdalny program PowerShell, nie usuwaj użytkownika lokalnego.

Konfiguracja komputera źródłowego zdarzeń

  1. Zaloguj się przy użyciu konta administratora i otwórz Edytor lokalnych zasad grupy (gpedit.msc)

  2. Przejdź do obszaru Zasady komputera lokalnego\Konfiguracja komputera\Szablony administracyjne\Składniki systemu Windows\Przekazywanie zdarzeń.

  3. Otwórz politykę "Skonfiguruj adres serwera, interwał odświeżania i urząd certyfikacji wystawcy w docelowym Menedżerze subskrypcji".

  4. Włącz politykę i naciśnij przycisk „Pokaż...” programu SubscriptionManagers.

  5. W oknie SubscriptionManagers wprowadź następujący ciąg:

    Server=HTTPS://<FQDN serwera modułu zbierającego zdarzenia>:5986/wsman/SubscriptionManager/WEC,Refresh=<interwał odświeżania w sekundach>,IssuerCA=<odcisk palca certyfikatu wystawiającego urzędu certyfikacji>

  6. Uruchom następujący wiersz polecenia, aby odświeżyć ustawienia lokalnych zasad grupy:Gpupdate /force

  7. Te kroki powinny spowodować wygenerowanie zdarzenia 104 w dzienniku aplikacji i usług podglądu zdarzeń komputera źródłowego\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational log z następującym komunikatem:

    "Usługa przesyłania dalej pomyślnie nawiązała połączenie z menedżerem subskrypcji pod adresem <>nazwy FQDN, a następnie zdarzenie 100 z komunikatem: "Pomyślnie utworzono <sub_name> subskrypcji".

  8. Na kolektorze zdarzeń stan subskrypcji będzie teraz wyświetlać 1 aktywny komputer.

  9. Otwórz dziennik ForwardedEvents w kolektorze zdarzeń i sprawdź, czy zdarzenia zostały przekazane z komputerów źródłowych.

Udzielić uprawnień do klucza prywatnego certyfikatu klienta na źródło zdarzeń

  1. Otwórz konsolę zarządzania certyfikatami dla komputera lokalnego na komputerze źródłowym zdarzeń.
  2. Kliknij prawym przyciskiem myszy certyfikat klienta, a następnie zarządzaj kluczami prywatnymi.
  3. Przyznaj uprawnienie do odczytu użytkownikowi NETWORK SERVICE.

Konfiguracja subskrypcji zdarzeń

  1. Otwórz Podgląd zdarzeń w module zbierającym zdarzenia i przejdź do węzła Subskrypcje.
  2. Kliknij prawym przyciskiem myszy pozycję Subskrypcje i wybierz pozycję "Utwórz subskrypcję..."
  3. Nadaj nazwę i opcjonalny opis nowej subskrypcji.
  4. Wybierz opcję "Zainicjowano komputer źródłowy" i kliknij pozycję "Wybierz grupy komputerów...".
  5. W obszarze Grupy komputerów kliknij pozycję "Dodaj komputery nienależące do domeny..." i wpisz nazwę hosta będącego źródłem zdarzenia.
  6. Kliknij pozycję "Dodaj certyfikaty..." i dodaj certyfikat urzędu certyfikacji wystawiającego certyfikaty klienta. Możesz kliknąć pozycję Wyświetl certyfikat, aby zweryfikować certyfikat.
  7. W urzędach certyfikacji kliknij przycisk OK, aby dodać certyfikat.
  8. Po zakończeniu dodawania komputerów kliknij przycisk OK.
  9. Wróć do właściwości subskrypcji, kliknij pozycję Wybierz zdarzenia...
  10. Skonfiguruj filtr zapytań zdarzeń, określając poziom zdarzeń, dzienniki zdarzeń lub źródła zdarzeń, identyfikatory zdarzeń i inne opcje filtrowania.
  11. Wróć do właściwości subskrypcji, kliknij pozycję Zaawansowane...
  12. Wybierz jedną z opcji optymalizacji dostarczania zdarzeń z zdarzenia źródłowego do modułu zbierającego zdarzenia lub pozostaw domyślną wartość Normal:
    1. Zminimalizuj przepustowość: Zdarzenia będą dostarczane z mniejszą częstotliwością, aby zaoszczędzić przepustowość.
    2. Minimalizacja opóźnień: Zdarzenia będą dostarczane natychmiast po ich wystąpieniu, aby zredukować opóźnienia.
  13. Zmień protokół na HTTPS i kliknij przycisk OK.
  14. Kliknij przycisk OK, aby utworzyć nową subskrypcję.
  15. Sprawdź stan środowiska uruchomieniowego subskrypcji, klikając prawym przyciskiem myszy i wybierając pozycję "Stan środowiska uruchomieniowego"
  • Last updated on