Настройка Event Collector в Windows Server 2008 для сбора логов с Windows Server 2008 и Windows Server 2003
Invite pending
В Windows Server 2008 имеется удобный сервис сбора логов (Event Collector) с разных серверов. Это позволяет значительно сократить время на просмотр событий, если имеется несколько систем. На одном сервере под управлением Windows Server 2008 мы настраиваем подписку на нужные события других серверов и просматриваем их централизовано. Анализировать события можно через настраиваемые представления Event Viewer'а, логпарсеры, PowerShell и др.
Итак, настроим сбор логов с серверов. Сервера входят в один домен. Собирать логи будем на сервер под управлением Windows Server 2008. На наших серверах, там где необходимо, установим WinRM 2.0, на Windows Server 2003 понадобиться доустановить кроме этого net framework не ниже версии 2.0SP1. Обязательно должна быть запущена служба Microsoft Firewall, если вы его не используете, то отключите через оснастку Windows Firewall. В процессе настройки натолкнулся на несколько подводных камней, а точнее, в имеющихся инструкциях не было уточнения про журнал Безопасности. События этого журнала не хотели передаваться на сервер-сборщик. Приведем варианты настройки.
1. Настроим сбор с серверов-источников под упралением Windows Server 2008.
1.1 На сервере, с которого будем собирать логи, запустим командную строку от имени администратора и выполним в ней команду winrm quickconfig.
После нажатия «y» сразу появятся результаты, отражающие успешность выполнения действий. На следующем скриншоте видно, на каком порту и какой транспорт используется для доставки событий.
У нас транспорт HTTP, но не смотря на это данные передаются в зашифрованном виде.
В версии WunRM1.1 порт по-умолчанию был 80. При этом, если на этом порту был IIS, то эти две службы друг другу не мешали. По крайней мере так пишут.
Посмотреть конфигурацию можно командой winrm get winrm/config
Добавим учетную запись сервера, который будет собирать логи, в группу «Event Log Readers». Также добавим учетную запись “Network Service” этого сервера в группу «Event Log Readers». Без нее у нас не будут собираться события журнала Безопасности. Нужно будет перегрузить сервер.
1.2 На сервере сборщике выполним wecutil qc. Если мы захотим изменять параметры Minimize Bandwidth или Minimize Latency, то введем команду winrm quickconfig. Хотя, при изменении этих параметров в подписке через оснастку Event Viewer нас про это предупредят. Настройка подписки через графический интерфейс труда не составляет. Выполняется в оснастке Event Viewer.
На скриншоте приведен пример настройки, когда инициатором передачи событий является сервер-источник. Также инициатором может выступать сервер-сборщик. В дополнительных параметрах подписки можно конфигурировать три типа подписки:
Normal – стабильная доставка без резервирования полосы пропускания. Режим доставки Pull с загрузкой по пять событий, если в течении 15 минут появились события для загрузки;
Minimize Bandwidth – режим доставки Push с пересылкой событий каждые 6 часов. Канал сужается;
Minimize Latency – минимальная задержка. Лучше использовать для сбора критических событий. Режим доставки Push c периодом отправки 30 секунд. В графическом интерфейсе нет возможности менять интервалы. Это можно сделать через командную строку командой wecutil.Для смены интервала выполните две команды:
«wecutil ss /cm:Custom»
«wecutil ss /hi: миллисекунды»
Собранные события искать в журнале, который выбрали в Destination log.
Кроме приведенного способа конфигурирования источника и сборщика, можно производить настройку через GPO и на основе файлов XML. Если настройка подписки выполнена через XML, то через графику ее уже не изменить. Подробную информацию по командам можно найти в помощи по ним.
2. Настроим сбор с серверов под упралением Windows Server 2003.
Настройку сборщика делаем, как уже рассказано выше. Нам нужно настроить сервер-источник под управлением Windows Server 2003. Как уже говорилось выше, надо доустановить WinRM 2.0, net framework не ниже версии 2.0SP1. В принципе, настройка не отличается от настройки для Windows Server 2008.
— В командной строке выполняем winrm quickconfig;
— Добавляем учетную запись сервера-сборщика в группу локальных администраторов, так как нет группы «Event Log Readers».
— Если необходимо собирать логи журнала Безопасность, то нужно внести некоторые правки в реестр. В ветке реестра HKLM/SYSTEM/CurrentControlSet/Services/EventLog/Security замените значение параметра CustomerSD на O:BAG:SYD:(A;;CC;;;NS). Выполним перезагрузку сервера.
Итак, настроим сбор логов с серверов. Сервера входят в один домен. Собирать логи будем на сервер под управлением Windows Server 2008. На наших серверах, там где необходимо, установим WinRM 2.0, на Windows Server 2003 понадобиться доустановить кроме этого net framework не ниже версии 2.0SP1. Обязательно должна быть запущена служба Microsoft Firewall, если вы его не используете, то отключите через оснастку Windows Firewall. В процессе настройки натолкнулся на несколько подводных камней, а точнее, в имеющихся инструкциях не было уточнения про журнал Безопасности. События этого журнала не хотели передаваться на сервер-сборщик. Приведем варианты настройки.
1. Настроим сбор с серверов-источников под упралением Windows Server 2008.
1.1 На сервере, с которого будем собирать логи, запустим командную строку от имени администратора и выполним в ней команду winrm quickconfig.
После нажатия «y» сразу появятся результаты, отражающие успешность выполнения действий. На следующем скриншоте видно, на каком порту и какой транспорт используется для доставки событий.
У нас транспорт HTTP, но не смотря на это данные передаются в зашифрованном виде.
В версии WunRM1.1 порт по-умолчанию был 80. При этом, если на этом порту был IIS, то эти две службы друг другу не мешали. По крайней мере так пишут.
Посмотреть конфигурацию можно командой winrm get winrm/config
Добавим учетную запись сервера, который будет собирать логи, в группу «Event Log Readers». Также добавим учетную запись “Network Service” этого сервера в группу «Event Log Readers». Без нее у нас не будут собираться события журнала Безопасности. Нужно будет перегрузить сервер.
1.2 На сервере сборщике выполним wecutil qc. Если мы захотим изменять параметры Minimize Bandwidth или Minimize Latency, то введем команду winrm quickconfig. Хотя, при изменении этих параметров в подписке через оснастку Event Viewer нас про это предупредят. Настройка подписки через графический интерфейс труда не составляет. Выполняется в оснастке Event Viewer.
На скриншоте приведен пример настройки, когда инициатором передачи событий является сервер-источник. Также инициатором может выступать сервер-сборщик. В дополнительных параметрах подписки можно конфигурировать три типа подписки:
Normal – стабильная доставка без резервирования полосы пропускания. Режим доставки Pull с загрузкой по пять событий, если в течении 15 минут появились события для загрузки;
Minimize Bandwidth – режим доставки Push с пересылкой событий каждые 6 часов. Канал сужается;
Minimize Latency – минимальная задержка. Лучше использовать для сбора критических событий. Режим доставки Push c периодом отправки 30 секунд. В графическом интерфейсе нет возможности менять интервалы. Это можно сделать через командную строку командой wecutil.Для смены интервала выполните две команды:
«wecutil ss /cm:Custom»
«wecutil ss /hi: миллисекунды»
Собранные события искать в журнале, который выбрали в Destination log.
Кроме приведенного способа конфигурирования источника и сборщика, можно производить настройку через GPO и на основе файлов XML. Если настройка подписки выполнена через XML, то через графику ее уже не изменить. Подробную информацию по командам можно найти в помощи по ним.
2. Настроим сбор с серверов под упралением Windows Server 2003.
Настройку сборщика делаем, как уже рассказано выше. Нам нужно настроить сервер-источник под управлением Windows Server 2003. Как уже говорилось выше, надо доустановить WinRM 2.0, net framework не ниже версии 2.0SP1. В принципе, настройка не отличается от настройки для Windows Server 2008.
— В командной строке выполняем winrm quickconfig;
— Добавляем учетную запись сервера-сборщика в группу локальных администраторов, так как нет группы «Event Log Readers».
— Если необходимо собирать логи журнала Безопасность, то нужно внести некоторые правки в реестр. В ветке реестра HKLM/SYSTEM/CurrentControlSet/Services/EventLog/Security замените значение параметра CustomerSD на O:BAG:SYD:(A;;CC;;;NS). Выполним перезагрузку сервера.