Configuración de una suscripción iniciada por el origen
Las suscripciones iniciadas por el origen permiten definir una suscripción en un equipo recopilador de eventos sin definir los equipos de origen de eventos y luego se pueden configurar varios equipos de origen de eventos remotos (mediante una opción de directiva de grupos) para reenviar eventos al equipo del recopilador de eventos. Esto varía de una suscripción iniciada por el recopilador porque, en el modelo de suscripción iniciada por el recopilador, el recopilador de eventos debe definir todos los orígenes de eventos de la suscripción de eventos.
Al configurar una suscripción iniciada por el origen, tenga en cuenta si los equipos de origen de eventos están en el mismo dominio que el equipo del recopilador de eventos. En las secciones siguientes se describen los pasos que se deben seguir cuando los orígenes de eventos están en el mismo dominio o no que el equipo recopilador de eventos.
Nota:
Cualquier equipo de un dominio, local o remoto, puede ser un recopilador de eventos. Sin embargo, al elegir un recopilador de eventos, es importante seleccionar una máquina que esté topológicamente cerca de donde se generará la mayoría de eventos. El envío de eventos a una máquina en una ubicación de red distante en una WAN puede reducir el rendimiento general y la eficacia en la recopilación de eventos.
Configuración de una suscripción iniciada por el origen en la que los orígenes de eventos están en el mismo dominio que el equipo recopilador de eventos
Tanto los equipos de origen de eventos como el equipo recopilador de eventos deben configurarse para establecer una suscripción iniciada por el origen.
Nota:
En estas indicaciones se supone que ya tiene acceso de administrador al controlador de dominio de Windows Server que atiende el dominio en el que se configurará el equipo remoto o los equipos para recopilar eventos.
Configuración del equipo de origen de eventos
Ejecute el siguiente comando en el símbolo del sistema con privilegios elevados en el controlador de dominio de Windows Server para configurar la administración remota de Windows:
winrm qc -q
Ejecute el siguiente comando para activar la directiva de grupos:
%SYSTEMROOT%\System32\gpedit.msc
En el nodo Configuración del equipo, expanda el nodo Plantillas administrativas y luego el nodo Componentes de Windows y, finalmente, seleccione el nodo Reenvío de eventos.
Haga clic con el botón derecho en la opción SubscriptionManager y seleccione Propiedades. Habilite la opción SubscriptionManager y haga clic en el botón Mostrar para agregar una dirección de servidor a la configuración. Agregue al menos una configuración que especifique el equipo recopilador de eventos. En la ventana Propiedades de SubscriptionManager está la pestaña Explicar que describe la sintaxis de la configuración.
Una vez agregada la configuración SubscriptionManager, ejecute el siguiente comando para asegurarse de que se aplica la directiva:
gpupdate /force
Configuración del equipo recopilador de eventos
Ejecute el siguiente comando en el símbolo del sistema con privilegios elevados en el controlador de dominio de Windows Server para configurar la administración remota de Windows:
winrm qc -q
Ejecute el siguiente comando para configurar el servicio Recopilador de eventos:
wecutil qc /q
Cree una suscripción iniciada por el origen. Esto se puede realizar mediante programación a través del Visor de eventos o mediante Wecutil.exe. Para obtener más información sobre cómo crear la suscripción mediante programación, consulte el ejemplo de código en Creación de una suscripción iniciada por origen. Si usa Wecutil.exe, debe crear un archivo XML de la suscripción de eventos y usar el siguiente comando:
wecutil cs configurationFile.xml
El siguiente XML es un ejemplo del contenido del archivo de configuración de una suscripción que crea una suscripción iniciada por el origen para reenviar eventos desde el registro de eventos de la aplicación de un equipo remoto al registro ForwardedEvents en el equipo recopilador de eventos.
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleSISubscription</SubscriptionId> <SubscriptionType>SourceInitiated</SubscriptionType> <Description>Source Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>1</MaxItems> <MaxLatencyTime>1000</MaxLatencyTime> </Batching> <PushSettings> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2018-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>Event[System/EventID='999']</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>true</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers> <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers> </Subscription>
Nota:
Al crear una suscripción iniciada por el origen, si AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList y DeniedSubjectList están vacíos, "O:NSG:NSD:(A;; GA;;; DC)(A;; GA;;; NS)" se usará como descriptor de seguridad predeterminado para AllowedSourceDomainComputers. El descriptor predeterminado concede a los miembros del grupo del dominio Equipos de dominio, así como al grupo de servicios de red local (para el reenviador local), la capacidad de generar eventos en esta suscripción.
Cómo confirmar que la suscripción funciona correctamente
En el equipo recopilador de eventos, siga los pasos siguientes:
Ejecute el siguiente comando en el símbolo del sistema con privilegios elevados en el controlador de dominio de Windows Server para obtener el estado en tiempo de ejecución de la suscripción:
wecutil gr <subscriptionID>
Compruebe que el origen de eventos está conectado. Es posible que tenga que esperar hasta que finalice el período de actualización indicado en la directiva después de crear la suscripción para que se conecte el origen de eventos.
Ejecute el siguiente comando para obtener la información de la suscripción:
wecutil gs <subscriptionID>
Extraiga el valor DeliveryMaxItems de la información de la suscripción.
En el equipo del origen de eventos, genere los eventos que coincidan con la consulta de la suscripción de eventos. Debe generarse el número de eventos DeliveryMaxItems para que se reenvíen los eventos.
En el equipo del recopilador de eventos, compruebe que los eventos se han reenviado al registro ForwardedEvents o al registro indicado en la suscripción.
Reenvío del registro de seguridad
Para poder reenviar el registro de seguridad, debe agregar la cuenta NETWORK SERVICE al grupo Lectores del registro de eventos.
Configuración de una suscripción iniciada por el origen en la que los orígenes de eventos no están en el mismo dominio que el equipo recopilador de eventos
Nota:
En estas instrucciones se supone que tiene acceso de administrador a un controlador de dominio de Windows Server. En este caso, dado que el equipo o equipos recopiladores de eventos remotos no están en el dominio atendido por el controlador de dominio, es esencial iniciar un cliente concreto cambiando la administración remota de Windows a "automático" mediante Servicios (services.msc). También está la opción de ejecutar "winrm quickconfig" en cada cliente remoto.
Se deben cumplir los siguientes requisitos previos antes de crear la suscripción.
En el equipo recopilador de eventos, ejecute los siguientes comandos en el símbolo del sistema con privilegios elevados para configurar la administración remota de Windows y el servicio del recopilador de eventos:
winrm qc -q
wecutil qc /q
El equipo recopilador debe tener un certificado de autenticación de servidor (certificado con un sistema de autenticación de servidor) en un almacén de certificados del equipo local.
En el equipo de origen de eventos, ejecute el siguiente comando para configurar la administración remota de Windows:
winrm qc -q
La máquina de origen debe tener un certificado de autenticación de cliente (certificado con un sistema de autenticación de cliente) en un almacén de certificados del equipo local.
El puerto 5986 se abre en el equipo recopilador de eventos. Para abrir este puerto, ejecute el comando:
netsh firewall add portopening TCP 5986 "Winrm HTTPS Remote Management"
Requisitos de certificados
Debe instalarse un certificado de autenticación de servidor en el equipo recopilador de eventos en el almacén personal del equipo local. El nombre de este certificado debe coincidir con el FQDN del recopilador.
Debe instalarse un certificado de autenticación de cliente en los equipo de origen de eventos en el almacén personal del equipo local. El nombre de este certificado debe coincidir con el FQDN del equipo.
Si el certificado de cliente lo ha emitido una entidad de certificación diferente a la del recopilador de eventos, esos certificados raíz e intermedio también deben instalarse en el recopilador de eventos.
Si una entidad de certificación intermedia emitió el certificado de cliente y el recopilador ejecuta Windows 2012 o posterior, tendrá que configurar la siguiente clave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2
Compruebe que tanto el servidor como el cliente pueden comprobar correctamente el estado de revocación en todos los certificados. El comando certutil puede ayudar a solucionar cualquier error.
Puede consultar más información en este artículo: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx
Configuración del agente de escucha en el recopilador de eventos
Cree la autenticación de certificado con el comando siguiente:
winrm set winrm/config/service/auth @{Certificate="true"}
Debe haber un agente de escucha HTTPS de WinRM con la huella digital del certificado de autenticación del servidor en el equipo recopilador de eventos. Esto se puede verificar con el comando siguiente:
winrm e winrm/config/listener
Si no ve el agente de escucha HTTPS o si la huella digital del agente de escucha HTTPS no es la misma que la huella digital del certificado de autenticación del servidor en el equipo recopilador, puede eliminar ese agente de escucha y crear uno nuevo con la huella digital correcta. Para eliminar el agente de escucha HTTPS, use el comando siguiente:
winrm delete winrm/config/Listener?Address=*+Transport=HTTPS
Para crear un nuevo agente de escucha, use el siguiente comando:
winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="<FQDN del recopilador>";CertificateThumbprint="<Huella digital del certificado de autenticación de servidor>"}
Configuración de la asignación de certificados en el recopilador de eventos
Cree un nuevo usuario local.
Convierta este nuevo usuario en administrador local en el recopilador.
Cree la asignación de certificados mediante un certificado que figure en las "Entidades de certificación raíz de confianza" o "Entidades de certificación intermedias" de la máquina.
Nota:
Este es el certificado de las entidades de certificación raíz o intermedias que emitieron los certificados instalados en los equipos de origen de eventos (la entidad de certificación inmediatamente superior al certificado de la cadena de certificados):
winrm create winrm/config/service/certmapping?Issuer=<Huella digital del certificado de entidad de certificación emisora>+Subject=*+URI=* @{UserName="<nombre de usuario>";Password="<contraseña>"} -remote:localhost
En un cliente, use el comando siguiente para probar el agente de escucha y la asignación de certificados:
winrm g winrm/config -r:https://<FQDN del recopilador de eventos>:5986 -a:certificate -certificate:"<Huella digital del certificado de autenticación de cliente>"
Esto debe devolver la configuración de WinRM del recopilador de eventos. No pase de este paso si no aparece la configuración.
¿Qué ocurre en este paso?
- El cliente se conecta al recopilador de eventos y envía el certificado especificado.
- El recopilador de eventos busca la entidad de certificación emisora y comprueba si existe una asignación de certificados coincidente.
- El recopilador de eventos valida el estado de la cadena de certificados de cliente y las revocaciones.
- Si esos pasos se realizan correctamente, la autenticación se completará
Nota:
Es posible que reciba un error de acceso denegado que avisando del método de autenticación, lo que podría llevar a engaño. Para solucionar el problema, compruebe el registro CAPI en el recopilador de eventos.
- Vea las entradas de certmapping configuradas con el comando: winrm enum winrm/config/service/certmapping
Nota:
El usuario local creado en el paso 1 nunca se usa para suplantar al usuario que se conecta a través de la autenticación de certificados en un escenario de reenvío de EventLog y se puede eliminar después. Si tiene pensado usar la autenticación de certificados en un escenario diferente, como PowerShell remoto, no elimine el usuario local.
Configuración del equipo de origen de eventos
Inicie sesión con una cuenta de administrador y abra el Editor de directivas de grupo local (gpedit.msc)
Vaya a Local Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Reenvío de eventos.
Abra la directiva "Configurar la dirección del servidor, el intervalo de actualización y la entidad de certificación del emisor de un Administrador de suscripciones de destino".
Active la directiva y haga clic en el botón "Mostrar..." de SubscriptionManagers.
En la ventana SubscriptionManagers, escriba la cadena siguiente:
Server=HTTPS://<FQDN del servidor del recopilador de eventos>:5986/wsman/SubscriptionManager/WEC,Refresh=<Intervalo de actualización en segundos>,IssuerCA=<Huella digital del certificado de la CA emisora>
Ejecute la siguiente línea de comandos para actualizar la configuración de la directiva de grupo local:Gpupdate /force
Tras estos pasos, se debería generar el evento 104 en el equipo de origen en Visor de eventos\Registros de aplicaciones y servicios\Microsoft\Windows\Eventlog-ForwardingPlugin\Registro operativo, junto con el siguiente mensaje:
"El reenviador se ha conectado correctamente al administrador de suscripciones en el <FQDN>de dirección seguido del evento 100 con el mensaje: "La suscripción <sub_name> se ha creado correctamente".
En el recopilador de eventos, en el estado del tiempo de ejecución de la suscripción se verá ahora 1 equipo activo.
Abra el registro ForwardedEvents en el recopilador de eventos y compruebe si tiene los eventos reenviados de los equipos de origen.
Concesión de permiso en la clave privada del certificado de cliente en el origen de eventos
- Abra la consola de administración de certificados de la máquina local en el equipo de origen de eventos.
- Haga clic con el botón derecho del ratón en el certificado de cliente y luego en Administrar claves privadas.
- Concesión de permiso de lectura al usuario de NETWORK SERVICE.
Configuración de suscripción de eventos
- Abra el Visor de eventos en el recopilador de eventos y vaya al nodo Suscripciones.
- Haga clic con el botón derecho en Suscripciones y elija "Crear suscripción...".
- Asigne un nombre y una descripción opcional para la nueva suscripción.
- Seleccione la opción "Iniciado por el equipo de origen" y haga clic en "Seleccionar grupos de equipos...".
- En Grupos de equipos, haga clic en "Agregar equipos que no son del dominio..." y escriba el nombre del host del origen de eventos.
- Haga clic en "Añadir certificados..." y agregue el certificado de la entidad de certificación que emite los certificados de cliente. Puede hacer clic en Ver certificado para validar el certificado.
- En Entidades de certificación, haga clic en Aceptar para agregar el certificado.
- Cuando termine de agregar equipos, haga clic en Aceptar.
- De vuelta a las propiedades de la suscripción, haga clic en Seleccionar eventos...
- Configure el filtro de consulta de eventos indicando los niveles de eventos, los registros de eventos o los orígenes de eventos, los identificadores de eventos y cualquier otra opción de filtrado.
- De vuelta a las propiedades de la suscripción, haga clic en Opciones avanzadas...
- Elija una de las opciones de optimización para la distribución de eventos desde el evento de origen al recopilador de eventos o deje el valor normal predeterminado:
- Minimizar el ancho de banda: los eventos se distribuirán con menos frecuencia para ahorrar ancho de banda.
- Minimizar latencia: los eventos se distribuirán en cuanto se generen para reducir la latencia de los eventos.
- Cambie el protocolo a HTTPS y haga clic en Aceptar.
- Haga clic en Aceptar para crear una suscripción nueva.
- Para comprobar el estado en tiempo de ejecución de la suscripción, haga clic con el botón derecho y elija "Estado en tiempo de ejecución".