Encaminhamento do log de eventos do Windows

6

No momento, estou criando uma prototipagem de uma configuração na qual o Windows Server 2008 é configurado como uma instância de registro central para clientes Windows XP e Windows 7 por meio de encaminhamento de evento iniciado por origem. Todos os computadores estão no mesmo domínio.

Eu configurei tudo de acordo com este artigo do DevCenter , mas devido a problemas com o xml fornecido para a configuração de registro, simplesmente criei um novo abonnement (fonte iniciada), coloquei no grupo "domain computers" e simplesmente adicionei todos os eventos a ele. O XML resultante é assim:

<QueryList>
  <Query Id="0" Path="Application">
    <Select Path="Application">*</Select>
    <Select Path="Security">*</Select>
    <Select Path="Setup">*</Select>
    <Select Path="System">*</Select>
  </Query>
</QueryList>

Como você pode ver, desejo registrar todos os eventos de todos os registradores de eventos. No entanto, ao avaliar os logs no servidor de registro, todos os eventos do fluxo de logs de segurança não são encaminhados para a instância de registro central (por exemplo, ao tentar executar um programa como outro usuário e inserir uma senha incorreta). Outros fluxos de logs, como sistema ou aplicativo, funcionam perfeitamente. Eu trabalhei na parte de validação do artigo sem ver nenhum problema. Até agora, acabei de testar o cliente Windows 7, pois o Windows XP não tem o encaminhamento de eventos instalado por padrão.

Alguma dica do que eu fiz de errado?

    
por Lars 03.02.2012 / 15:52

6 respostas

2

Para o Windows Vista, 7 e 2008:

O serviço Windows-Eventcollector (wecsvc) nos computadores de origem, que encaminha os eventos para o (s) computador (es) coletor (es) se você estiver usando Assinatura iniciada por origem, é executado como conta "Serviço de rede". Mas a conta de serviço de rede não tem acesso ao log de eventos de segurança. O grupo local "Event Log Readers" tem acesso a todos os logs. Isso significa que em cada computador de origem você precisa adicionar a conta "Serviço de Rede" ao grupo "Event Log Readers" local para que o serviço Windows-Eventcollector tenha acesso ao log de eventos de Segurança e possa encaminhá-lo para o coletor-computador. (s).

Usando o SDDL (Security Descriptor Definition Language) você também pode redefinir as permissões nos diferentes logs de eventos usando o wevtutil, mas isso é mais complexo, o que significa que você pode facilmente quebrar algo ou causar efeitos indesejados se não ler isso e cuidadosamente formule o SDDL antes de fazer qualquer coisa.

    
por 08.02.2012 / 01:11
2

Pode ser que o atributo Caminho no bloco Consulta esteja filtrando-o. Deve funcionar sem ele:

<QueryList>
  <Query Id="0">
    <Select Path="Application">*</Select>
    <Select Path="Security">*</Select>
    <Select Path="Setup">*</Select>
    <Select Path="System">*</Select>
  </Query>
</QueryList>
    
por 05.02.2012 / 21:50
2

Provavelmente, um problema de permissões com o log de eventos de segurança.

Tente adicionar a conta do computador coletor ao grupo Administradores em um dos computadores de origem para determinar se isso resolve o problema.

Observe que no Windows 2008 e no Windows Vista / 7, há um novo grupo de leitores de log de eventos que facilita o fornecimento desse nível de acesso.

    
por 05.02.2012 / 22:23
2

O log de segurança está ativado nas estações de trabalho? Se não, então não haverá nada para encaminhar.

    
por 05.02.2012 / 23:51
2

Acabamos de seguir este guia e gostar de você, não chegamos a lugar algum até adicionarmos a conta delegada aos logs de eventos que estão sendo reunidos aos administradores do domínio, e não estamos mais em ruínas.

Próximo passo, para encontrar uma maneira mais segura de fazer isso!

    
por 07.09.2012 / 13:42
1

O ponto principal da conta do Serviço de Rede local é que não tem privilégios elevados no sistema local, e outros aplicativos e serviços dependem da configuração correta dessa conta. Basta olhar para o console de serviços e classificar por Log On As .

Pode ser uma abordagem melhor para criar uma conta diferente especificamente para essa finalidade e alterar a configuração do serviço Coletor de Log do Windows para ser executada como essa nova conta.

    
por 09.02.2012 / 20:27