我们正在尝试在我们的环境中设置 Windows 事件转发 (WEF),但遇到了一些问题。我们设置了一个 GPO(如下所示)以启用将事件转发到本地收集服务器的功能,并且我们已配置连接服务器。收集器计算机显示为已正确订阅,但我们正在测试的另一台计算机未连接到收集服务器。
在无法转发日志的源计算机上,我们看到以下错误应用程序和服务日志 -> Microsoft -> Windows -> Eventlog ForwardingPlugin
The forwarder is having a problem communicating with subscription manager at address
http://Collector.corp.company.com:5985/wsman/SubscriptionManager/WEC.
Error code is 5 and Error Message is
<f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5"
Machine="SourceMachine.corp.company.com"><f:Message>Access is denied. </f:Message></f:WSManFault>.
在收集器机器上,我们看到以下错误应用程序和服务日志 -> Microsoft -> Windows -> Windows 远程管理 -> 操作
The authorization of the user failed with error 5
有关收集服务器错误的更多详细信息:
Source: Windows Remote Managment
Event ID: 192
Level: Information Task Category: User Authorization
User: Network Service Keywords: Security,Server
OpCode: Informational Computer: Collector.corp.company.com
正在应用的 GPO:
答案1
好吧,经过大量的阅读和研究,我似乎找到了一些可行的方法。具体来说,问题出在使用的通道访问令牌上。此令牌的值应为:
O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x1;;;BO)(A;;0x1;;;SO)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
该值应设置为计算机配置 -> 管理模板 -> Windows 组件 -> 事件日志服务 -> 安全。在我们的例子中,我使用了上面显示的注册表设置中的相同值。
关键是要添加(A;;0x1;;;S-1-5-20)到末尾,而不是(A;;0x1;;;NS)
以下是我发现/使用过的一些有用的链接,可以使此功能正常工作:
- https://logbinder.helpspot.com/index.php?pg=kb.page&id=67
- https://apps.nsa.gov/iaarchive/library/reports/spotting-the-adversary-with-windows-event-log-monitoring.cfm
- https://github.com/ukncsc/lme
希望这能够对其他人有所帮助,因为这对我们来说很痛苦。
答案2
我们有完全相同的行为和错误消息(... 失败,错误 5),但我们的解决方案是计算机配置 -> 管理模板 -> Windows 组件 -> Windows 远程管理 -> WinRM 服务 -> 允许通过 WinRM 进行远程服务器管理下的通配符。我们只是在那里放了一个星号 (*),就像大多数文章中描述的那样,这已经完美地运行了一年多,但在 2020 年 7 月微软修补之后,它停止了工作。我手动输入了我们使用的子网,并在收集器上重新启动了 Winrm 服务,一切又开始顺利运行了。
答案3
我指的是这个所以我首先确保我的 Winrm 配置设置正确参考:https://learn.microsoft.com/en-us/troubleshoot/windows-client/system-management-components/configure-winrm-for-https 然后我检查了转发事件的 WEC 服务器,我的订阅下的服务器丢失了。添加了它,问题解决了