Configuración de una suscripción iniciada por el origen

Las suscripciones iniciadas por el origen permiten definir una suscripción en un equipo recopilador de eventos sin definir los equipos de origen de eventos y, a continuación, se pueden configurar varios equipos de origen de eventos remotos (mediante una configuración de directiva de grupo) para reenviar eventos al equipo recopilador de eventos. Esto difiere de una suscripción iniciada por el recopilador porque en el modelo de suscripción iniciada por el recopilador, el recopilador de eventos debe definir todos los orígenes de eventos de la suscripción de eventos.

Al configurar una suscripción iniciada por el origen, tenga en cuenta si los equipos de origen de eventos están en el mismo dominio que el equipo recopilador de eventos. En las secciones siguientes se describen los pasos que se deben seguir cuando los orígenes de eventos están en el mismo dominio o no en el mismo dominio que el equipo del recopilador de eventos.

Nota:

Cualquier equipo de un dominio, local o remoto, puede ser un recopilador de eventos. Sin embargo, al elegir un recopilador de eventos, es importante seleccionar una máquina que esté cerca de forma topológica a la que se generará la mayoría de los eventos. El envío de eventos a una máquina en una ubicación de red lejana en una WAN puede reducir el rendimiento general y la eficiencia en la recopilación de eventos.

Configuración de una suscripción iniciada por el origen en la que los orígenes de eventos están en el mismo dominio que el equipo del recopilador de eventos

Tanto los equipos de origen de eventos como el equipo recopilador de eventos deben configurarse para configurar una suscripción iniciada por el origen.

Nota

En estas instrucciones se supone que tiene acceso de administrador al controlador de dominio de Windows Server que sirve al dominio en el que se configurará el equipo remoto o los equipos para recopilar eventos.

Configuración del equipo de origen de eventos

1. Ejecute el siguiente comando desde un símbolo del sistema con privilegios elevados en el controlador de dominio de Windows Server para configurar la administración remota de Windows:

   winrm qc -q

2. Inicie la directiva de grupo ejecutando el siguiente comando:

   %SYSTEMROOT%\System32\gpedit.msc

3. En el nodo Configuración del equipo , expanda el nodo Plantillas administrativas , expanda el nodo Componentes de Windows y, a continuación, seleccione el nodo Reenvío de eventos.

4. Haga clic con el botón derecho en la configuración SubscriptionManager y seleccione Propiedades. Habilite la configuración SubscriptionManager y haga clic en el botón Mostrar para agregar una dirección de servidor a la configuración. Agregue al menos una configuración que especifique el equipo del recopilador de eventos. La ventana Propiedades de SubscriptionManager contiene una pestaña Explicar que describe la sintaxis de la configuración.

5. Una vez agregada la configuración SubscriptionManager , ejecute el siguiente comando para asegurarse de que se aplica la directiva:

   gpupdate /force

Configuración del equipo recopilador de eventos

1. Ejecute el siguiente comando desde un símbolo del sistema con privilegios elevados en el controlador de dominio de Windows Server para configurar la administración remota de Windows:

   winrm qc -q

2. Ejecute el siguiente comando para configurar el servicio recopilador de eventos:

   wecutil qc /q

3. Cree una suscripción iniciada por el origen. Esto se puede hacer mediante programación mediante el uso de la Visor de eventos o mediante Wecutil.exe. Para obtener más información sobre cómo crear la suscripción mediante programación, consulte el ejemplo de código en Creación de una suscripción iniciada por origen. Si usa Wecutil.exe, debe crear un archivo XML de suscripción de eventos y usar el siguiente comando:

   wecutil csconfigurationFile.xml

   El siguiente XML es un ejemplo del contenido de un archivo de configuración de suscripción que crea una suscripción iniciada por el origen para reenviar eventos desde el registro de eventos application de un equipo remoto al registro ForwardedEvents en el equipo recopilador de eventos.

   <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
       <SubscriptionId>SampleSISubscription</SubscriptionId>
       <SubscriptionType>SourceInitiated</SubscriptionType>
       <Description>Source Initiated Subscription Sample</Description>
       <Enabled>true</Enabled>
       <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
   
       <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
       <ConfigurationMode>Custom</ConfigurationMode>
   
       <Delivery Mode="Push">
           <Batching>
               <MaxItems>1</MaxItems>
               <MaxLatencyTime>1000</MaxLatencyTime>
           </Batching>
           <PushSettings>
               <Heartbeat Interval="60000"/>
           </PushSettings>
       </Delivery>
   
       <Expires>2018-01-01T00:00:00.000Z</Expires>
   
       <Query>
           <![CDATA[
               <QueryList>
                   <Query Path="Application">
                       <Select>Event[System/EventID='999']</Select>
                   </Query>
               </QueryList>
           ]]>
       </Query>
   
       <ReadExistingEvents>true</ReadExistingEvents>
       <TransportName>http</TransportName>
       <ContentFormat>RenderedText</ContentFormat>
       <Locale Language="en-US"/>
       <LogFile>ForwardedEvents</LogFile>
       <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
       <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
   </Subscription>
   

   Nota

   Al crear una suscripción iniciada por el origen, si AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList y DeniedSubjectList están vacíos, "O:NSG:NSD:(A;; GA;;;;D C)(A;; GA;;; NS)" se usará como descriptor de seguridad predeterminado para AllowedSourceDomainComputers. El descriptor predeterminado concede a los miembros del grupo de dominio Equipos de dominio, así como al grupo de servicios de red local (para el reenviador local), la capacidad de generar eventos para esta suscripción.

Para validar que la suscripción funciona correctamente

1. En el equipo recopilador de eventos, complete los pasos siguientes:

   1. Ejecute el siguiente comando desde un símbolo del sistema con privilegios elevados en el controlador de dominio de Windows Server para obtener el estado en tiempo de ejecución de la suscripción:

      wecutil gr<subscriptionID>

   2. Compruebe que el origen del evento está conectado. Es posible que tenga que esperar hasta que finalice el intervalo de actualización especificado en la directiva después de crear la suscripción para que se conecte el origen del evento.

   3. Ejecute el siguiente comando para obtener la información de la suscripción:

      wecutil gs<subscriptionID>

   4. Obtenga el valor DeliveryMaxItems de la información de la suscripción.

2. En el equipo de origen de eventos, genere los eventos que coinciden con la consulta de la suscripción de eventos. Se debe generar el número de eventos DeliveryMaxItems para que se reenvíen los eventos.

3. En el equipo recopilador de eventos, compruebe que los eventos se han reenviado al registro ForwardedEvents o al registro especificado en la suscripción.

Reenvío del registro de seguridad

Para poder reenviar el registro de seguridad, debe agregar la cuenta DE SERVICIO DE RED al grupo Lectores de EventLog.

Configuración de una suscripción iniciada por el origen en la que los orígenes de eventos no están en el mismo dominio que el equipo del recopilador de eventos

Nota

En estas instrucciones se supone que tiene acceso de administrador a un controlador de dominio de Windows Server. En este caso, dado que el equipo o equipos del recopilador de eventos remotos no están en el dominio servido por el controlador de dominio, es esencial iniciar un cliente individual estableciendo administración remota de Windows en "automático" mediante Servicios (services.msc). Como alternativa, puede ejecutar "winrm quickconfig" en cada cliente remoto.

Se deben cumplir los siguientes requisitos previos antes de crear la suscripción.

1. En el equipo recopilador de eventos, ejecute los siguientes comandos desde un símbolo del sistema con privilegios elevados para configurar la administración remota de Windows y el servicio recopilador de eventos:

   winrm qc -q

   wecutil qc /q

2. El equipo recopilador debe tener un certificado de autenticación de servidor (certificado con un propósito de autenticación de servidor) en un almacén de certificados del equipo local.

3. En el equipo de origen del evento, ejecute el siguiente comando para configurar la administración remota de Windows:

   winrm qc -q

4. La máquina de origen debe tener un certificado de autenticación de cliente (certificado con un propósito de autenticación de cliente) en un almacén de certificados del equipo local.

5. El puerto 5986 se abre en el equipo del recopilador de eventos. Para abrir este puerto, ejecute el comando :

   netsh firewall add portopening TCP 5986 "Winrm HTTPS Remote Management"

Requisitos de certificados

• Debe instalarse un certificado de autenticación de servidor en el equipo recopilador de eventos en el almacén personal del equipo local. El asunto de este certificado debe coincidir con el FQDN del recopilador.

• Debe instalarse un certificado de autenticación de cliente en los equipos de origen de eventos en el almacén personal del equipo local. El asunto de este certificado debe coincidir con el FQDN del equipo.

• Si el certificado de cliente ha sido emitido por una entidad de certificación diferente a la del recopilador de eventos, esos certificados raíz e intermedio también deben instalarse en el recopilador de eventos.

• Si el certificado de cliente lo emitió una entidad de certificación intermedia y el recopilador ejecuta Windows 2012 o posterior, tendrá que configurar la siguiente clave del Registro:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2

• Compruebe que tanto el servidor como el cliente pueden comprobar correctamente el estado de revocación en todos los certificados. El uso del comando certutil puede ayudar a solucionar cualquier error.

Obtenga más información en este artículo: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx

Configurar el agente de escucha en el recopilador de eventos

1. Establezca la autenticación de certificado con el siguiente comando:

   winrm set winrm/config/service/auth @{Certificate="true"}

2. Un agente de escucha HTTPS de WinRM con la impresión digital del certificado de autenticación del servidor debe existir en el equipo recopilador de eventos. Esto se puede comprobar con el siguiente comando:

   winrm e winrm/config/listener

3. Si no ve el agente de escucha HTTPS o si la impresión digital del agente de escucha HTTPS no es la misma que la impresión digital del certificado de autenticación del servidor en el equipo recopilador, puede eliminar ese agente de escucha y crear uno nuevo con la impresión digital correcta. Para eliminar el agente de escucha https, use el siguiente comando:

   winrm delete winrm/config/Listener? Address=*+Transport=HTTPS

   Para crear un nuevo agente de escucha, use el siguiente comando:

   winrm create winrm/config/Listener? Address=*+Transport=HTTPS @{Hostname="<FQDN del recopilador>"; CertificateThumbprint="<Huella digital del certificado> de autenticación de servidor"}

Configuración de la asignación de certificados en el recopilador de eventos

1. Cree un nuevo usuario local.

2. Cree la asignación de certificados mediante un certificado que esté presente en las "entidades de certificación raíz de confianza" o "Entidades de certificación intermedias".

   Este es el certificado de la ENTIDAD de certificación raíz o intermedia que emitió los certificados instalados en los equipos de origen de eventos (para evitar confusiones, esta es la ENTIDAD de certificación inmediatamente superior al certificado de la cadena de certificados):

   winrm create winrm/config/service/certmapping? Issuer=<Thumbprint del certificado> de CA emisor+Subject=*+URI=* @{UserName="<username>"; Password="<password>"} -remote:localhost

3. Desde un cliente, pruebe el agente de escucha y la asignación de certificados con el siguiente comando:

   winrm g winrm/config -r:https://<FQDN> del recopilador de eventos :5986 -a:certificate -certificate:"<Huella digital del certificado> de autenticación de cliente "

   Esto debe devolver la configuración de WinRM del recopilador de eventos. No pase este paso si no se muestra la configuración.

   ¿Qué ocurre en este paso?

   • El cliente se conecta al recopilador de eventos y envía el certificado especificado.
   • El recopilador de eventos busca la entidad de certificación emisora y comprueba si es una asignación de certificado coincidente.
   • El recopilador de eventos valida el estado de la cadena de certificados de cliente y las revocaciones.
   • Si los pasos anteriores se completan correctamente, se completa la autenticación.

Nota:

Es posible que reciba un error de acceso denegado que se queja sobre el método de autenticación, lo que podría ser engañoso. Para solucionar problemas, compruebe el registro capi en el recopilador de eventos.

4. Enumerar las entradas de certmapping configuradas con el comando: winrm enum winrm/config/service/certmapping

Configuración del equipo de origen de eventos

1. Inicie sesión con una cuenta de administrador y abra el Editor de directiva de grupo local (gpedit.msc)

2. Vaya a la directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Reenvío de eventos.

3. Abra la directiva "Configurar la dirección del servidor, el intervalo de actualización y la entidad de certificación del emisor de un Administrador de suscripciones de destino".

4. Habilite la directiva y haga clic en SubscriptionManagers "Mostrar..." Botón.

5. En la ventana SubscriptionManagers , escriba la cadena siguiente:

   Server=HTTPS://<FQDN del servidor del recopilador de eventos>:5986/wsman/SubscriptionManager/WEC,Refresh=<Intervalo de actualización en segundos>,IssuerCA=<Huella digital del certificado de entidad de certificación emisora>

6. Ejecute la siguiente línea de comandos para actualizar configuración de directiva de grupo local:Gpupdate /force

7. Estos pasos deben generar el evento 104 en el equipo de origen Visor de eventos Registros de aplicaciones y servicios\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational log con el siguiente mensaje:

   "El reenviador se ha conectado correctamente al administrador de suscripciones en la dirección <FQDN>seguido del evento 100 con el mensaje: "La suscripción <sub_name> se crea correctamente".

8. En el recopilador de eventos, el estado del entorno de ejecución de la suscripción mostrará ahora 1 equipo activo.

9. Abra el registro ForwardedEvents en el recopilador de eventos y compruebe si tiene los eventos reenviados desde los equipos de origen.

Concesión de permiso en la clave privada del certificado de cliente en el origen del evento

1. Abra la consola de administración de certificados para la máquina local en el equipo de origen de eventos.
2. Haga clic con el botón derecho en el certificado de cliente y, a continuación, en Administrar claves privadas.
3. Conceda permiso de lectura al usuario NETWORK SERVICE.

Configuración de la suscripción de eventos

1. Abra Visor de eventos en el recopilador de eventos y vaya al nodo Suscripciones.
2. Haga clic con el botón derecho en Suscripciones y elija "Crear suscripción..."
3. Asigne un nombre y una descripción opcional para la nueva suscripción.
4. Seleccione la opción "Iniciado por el equipo de origen" y haga clic en "Seleccionar grupos de equipos...".
5. En Grupos de equipos, haga clic en "Agregar equipos que no son de dominio..." y escriba el nombre de host del origen del evento.
6. Haga clic en "Agregar certificados..." y agregue el certificado de la entidad de certificación que emite los certificados de cliente. Puede hacer clic en Ver certificado para validar el certificado.
7. En Entidades de certificación, haga clic en Aceptar para agregar el certificado.
8. Cuando termine de agregar Equipos, haga clic en Aceptar.
9. Vuelva a las propiedades de la suscripción, haga clic en Seleccionar eventos...
10. Configure el filtro de consulta de eventos especificando los niveles de evento, los registros de eventos o los orígenes de eventos, los identificadores de evento y cualquier otra opción de filtrado.
11. Vuelva a las propiedades de la suscripción, haga clic en Opciones avanzadas...
12. Elija una de las opciones de optimización para la entrega de eventos del evento de origen al recopilador de eventos o deje el valor normal predeterminado:
    1. Minimizar ancho de banda: los eventos se entregarán con menos frecuencia para ahorrar ancho de banda.
    2. Minimizar la latencia: los eventos se entregarán en cuanto se produzcan para reducir la latencia de los eventos.
13. Cambie el protocolo a HTTPS y haga clic en Aceptar.
14. Haga clic en Aceptar para crear la nueva suscripción.
15. Para comprobar el estado en tiempo de ejecución de la suscripción, haga clic con el botón derecho y elija "Estado en tiempo de ejecución".