我正在处理与 WEF 和 sysmon 相关的一些问题
我已经设置了收集服务器,并通过 GPO 配置了 2 个域控制器以将事件发送到 WEF 收集器。
它是通过源启动进行配置的,但配置中似乎缺少一些东西。
我用了https://www.syspanda.com/index.php/2017/03/01/setting-up-windows-event-forwarder-server-wef-domain-gpo-deployment-part-33/配置指南但不包括步骤 4。
步骤 1:创建 WinRM 服务并将其设置为自动启动
启动组策略实用程序并执行以下操作:
右键单击您的计算机 OU 并在此域中创建 GPO,然后在此处链接提供一个名称(WEF 部署),单击确定右键单击您新创建的 GPO WEF 部署并选择编辑导航到计算机配置 > 首选项 > 控制面板设置 > “新建 > 服务”启动:AutomaticService 名称:WinRMService 操作:启动服务单击应用
步骤 2:提供事件日志读取器访问权限
在此步骤中,我们将网络服务和事件转发器服务器 (WindowsLogCollector) 添加到事件日志读取器和组。这将使我们的 WEF 服务器 (WindowsLogCollector) 能够访问您的域端点事件日志。
右键单击您的 WEF 部署 GPO,然后选择编辑计算机配置 > 首选项 > 控制面板设置 > 右键单击 > “新组”操作:更新组名称:事件日志读取器成员:NETWORK SERVICE Domain\WindowsLogCollector$ 应用 > 确定
步骤 3:添加 WEF 服务器订阅地址 这将允许我们的端点注册到我们的 WindowsLogCollector 订阅。
右键单击您的 WEF 部署 GPO,然后选择编辑计算机配置 > 策略 > 管理模板 > Windows 组件 > 事件转发 > 配置目标订阅管理器 > 设置为 EnableShow:Server=http://WindowsLogCollector.domain.COM:5985/wsman/SubscriptionManager/WEC
步骤 4:允许通过 WinRM 进行远程服务器管理
右键单击您的 WEF 部署 GPO,然后选择编辑计算机配置 > 策略 > 管理模板 > Windows 组件 > Windows 远程管理 (WinRM) > WinRMService > 允许通过 WinRM 进行远程服务器管理设置:EnableiPv4 过滤器:*(或者您可以只输入 WindowsLogCollector 的 IP 地址)IpV6 过滤器:*(您可以取消选中此项)
申请日志读取器访问权限后是否缺少了什么?正如它仍然说的那样源计算机为 0
也许是权限问题。
答案1
步骤 4:允许通过 WinRM 进行远程服务器管理此步骤是必要的,如果不应用通配符过滤器,日志将不会发送到目标。
确保还在端口 5985 TCP 上的 GPO 中创建入站防火墙规则
一切正常,日志正在提取中。