Configuration d’un abonnement initié par la source

Les abonnements initiés par la source vous permettent de définir un abonnement sur un ordinateur collecteur d’événements sans définir les ordinateurs sources d’événements, puis plusieurs ordinateurs sources d’événements distants peuvent être configurés (à l’aide d’un paramètre de stratégie de groupe) pour transférer des événements à l’ordinateur collecteur d’événements. Cela diffère d’un abonnement initié par un collecteur, car dans le modèle d’abonnement initié par le collecteur, le collecteur d’événements doit définir toutes les sources d’événements dans l’abonnement aux événements.

Lors de la configuration d’un abonnement initié par la source, déterminez si les ordinateurs sources d’événements se trouvent dans le même domaine que l’ordinateur collecteur d’événements. Les sections suivantes décrivent les étapes à suivre lorsque les sources d’événements se trouvent dans le même domaine ou pas dans le même domaine que l’ordinateur collecteur d’événements.

Notes

N’importe quel ordinateur d’un domaine, local ou distant, peut être un collecteur d’événements. Toutefois, lors du choix d’un collecteur d’événements, il est important de sélectionner une machine qui se trouve à proximité topologique de l’emplacement où la majorité des événements seront générés. L’envoi d’événements à une machine à un emplacement réseau distant sur un wan peut réduire les performances globales et l’efficacité de la collecte d’événements.

Configuration d’un abonnement initié par la source où les sources d’événements se trouvent dans le même domaine que l’ordinateur collecteur d’événements

Les ordinateurs sources d’événements et l’ordinateur collecteur d’événements doivent être configurés pour configurer un abonnement initié par la source.

Notes

Ces instructions supposent que vous disposez d’un accès administrateur au contrôleur de domaine Windows Server qui sert le domaine dans lequel le ou les ordinateurs distants seront configurés pour collecter des événements.

Configuration de l’ordinateur source d’événements

1. Exécutez la commande suivante à partir d’une invite de commandes avec privilèges élevés sur le contrôleur de domaine Windows Server pour configurer la gestion à distance Windows :

   winrm qc -q

2. Démarrez la stratégie de groupe en exécutant la commande suivante :

   %SYSTEMROOT%\System32\gpedit.msc

3. Sous le nœud Configuration de l’ordinateur , développez le nœud Modèles d’administration , puis le nœud Composants Windows , puis sélectionnez le nœud Transfert d’événements .

4. Cliquez avec le bouton droit sur le paramètre SubscriptionManager , puis sélectionnez Propriétés. Activez le paramètre SubscriptionManager , puis cliquez sur le bouton Afficher pour ajouter une adresse de serveur au paramètre. Ajoutez au moins un paramètre qui spécifie l’ordinateur collecteur d’événements. La fenêtre Propriétés de SubscriptionManager contient un onglet Expliquer qui décrit la syntaxe du paramètre.

5. Une fois le paramètre SubscriptionManager ajouté, exécutez la commande suivante pour vous assurer que la stratégie est appliquée :

   gpupdate /force

Configuration de l’ordinateur collecteur d’événements

1. Exécutez la commande suivante à partir d’une invite de commandes avec privilèges élevés sur le contrôleur de domaine Windows Server pour configurer la gestion à distance Windows :

   winrm qc -q

2. Exécutez la commande suivante pour configurer le service Collecteur d’événements :

   wecutil qc /q

3. Créez un abonnement initié par la source. Cela peut être effectué par programmation, à l’aide du observateur d'événements ou à l’aide deWecutil.exe. Pour plus d’informations sur la création de l’abonnement par programmation, consultez l’exemple de code dans Création d’un abonnement initié par la source. Si vous utilisez Wecutil.exe, vous devez créer un fichier XML d’abonnement aux événements et utiliser la commande suivante :

   wecutil csconfigurationFile.xml

   Le code XML suivant est un exemple du contenu d’un fichier de configuration d’abonnement qui crée un abonnement initié par la source pour transférer des événements à partir du journal des événements d’application d’un ordinateur distant vers le journal ForwardedEvents sur l’ordinateur collecteur d’événements.

   <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
       <SubscriptionId>SampleSISubscription</SubscriptionId>
       <SubscriptionType>SourceInitiated</SubscriptionType>
       <Description>Source Initiated Subscription Sample</Description>
       <Enabled>true</Enabled>
       <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
   
       <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
       <ConfigurationMode>Custom</ConfigurationMode>
   
       <Delivery Mode="Push">
           <Batching>
               <MaxItems>1</MaxItems>
               <MaxLatencyTime>1000</MaxLatencyTime>
           </Batching>
           <PushSettings>
               <Heartbeat Interval="60000"/>
           </PushSettings>
       </Delivery>
   
       <Expires>2018-01-01T00:00:00.000Z</Expires>
   
       <Query>
           <![CDATA[
               <QueryList>
                   <Query Path="Application">
                       <Select>Event[System/EventID='999']</Select>
                   </Query>
               </QueryList>
           ]]>
       </Query>
   
       <ReadExistingEvents>true</ReadExistingEvents>
       <TransportName>http</TransportName>
       <ContentFormat>RenderedText</ContentFormat>
       <Locale Language="en-US"/>
       <LogFile>ForwardedEvents</LogFile>
       <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
       <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
   </Subscription>
   

   Notes

   Lors de la création d’un abonnement initié par la source, si AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList et DeniedSubjectList sont tous vides, alors « O:NSG:NSD:(A;; GA;;;D C)(A;; GA;;; NS) » sera utilisé comme descripteur de sécurité par défaut pour AllowedSourceDomainComputers. Le descripteur par défaut accorde aux membres du groupe de domaine Ordinateurs de domaine, ainsi qu’au groupe de service réseau local (pour le redirecteur local), la possibilité de déclencher des événements pour cet abonnement.

Pour vérifier que l’abonnement fonctionne correctement

1. Sur l’ordinateur collecteur d’événements, procédez comme suit :

   1. Exécutez la commande suivante à partir d’une invite de commandes avec privilèges élevés sur le contrôleur de domaine Windows Server pour obtenir le status d’exécution de l’abonnement :

      id d’abonnement>wecutil gr<

   2. Vérifiez que la source d’événement est connectée. Vous devrez peut-être attendre que l’intervalle d’actualisation spécifié dans la stratégie soit terminé après avoir créé l’abonnement pour que la source d’événement soit connectée.

   3. Exécutez la commande suivante pour obtenir les informations d’abonnement :

      id d’abonnement>wecutil gs<

   4. Obtenez la valeur DeliveryMaxItems à partir des informations d’abonnement.

2. Sur l’ordinateur source de l’événement, déclenchez les événements qui correspondent à la requête à partir de l’abonnement aux événements. Le nombre d’événements DeliveryMaxItems doit être déclenché pour que les événements soient transférés.

3. Sur l’ordinateur collecteur d’événements, vérifiez que les événements ont été transférés vers le journal ForwardedEvents ou vers le journal spécifié dans l’abonnement.

Transfert du journal de sécurité

Pour pouvoir transférer le journal de sécurité, vous devez ajouter le compte NETWORK SERVICE au groupe Lecteurs EventLog.

Configuration d’un abonnement initié par la source où les sources d’événements ne se trouvent pas dans le même domaine que l’ordinateur collecteur d’événements

Notes

Ces instructions supposent que vous disposez d’un accès administrateur à un contrôleur de domaine Windows Server. Dans ce cas, étant donné que l’ordinateur ou les ordinateurs collecteurs d’événements distants ne se trouvent pas dans le domaine pris en charge par le contrôleur de domaine, il est essentiel de démarrer un client individuel en définissant Gestion à distance Windows sur « automatique » à l’aide de Services (services.msc). Vous pouvez également exécuter « winrm quickconfig » sur chaque client distant.

Les conditions préalables suivantes doivent être remplies avant la création de l’abonnement.

1. Sur l’ordinateur collecteur d’événements, exécutez les commandes suivantes à partir d’une invite de commandes avec privilèges élevés pour configurer La gestion à distance Windows et le service Collecteur d’événements :

   winrm qc -q

   wecutil qc /q

2. L’ordinateur collecteur doit avoir un certificat d’authentification de serveur (certificat avec un objectif d’authentification de serveur) dans un magasin de certificats d’ordinateur local.

3. Sur l’ordinateur source de l’événement, exécutez la commande suivante pour configurer la gestion à distance Windows :

   winrm qc -q

4. L’ordinateur source doit avoir un certificat d’authentification client (certificat avec un objectif d’authentification client) dans un magasin de certificats d’ordinateur local.

5. Le port 5986 est ouvert sur l’ordinateur collecteur d’événements. Pour ouvrir ce port, exécutez la commande :

   netsh firewall add portopening TCP 5986 « Winrm HTTPS Remote Management »

Exigences relatives aux certificats

• Un certificat d’authentification de serveur doit être installé sur l’ordinateur collecteur d’événements dans le magasin personnel de l’ordinateur local. L’objet de ce certificat doit correspondre au nom de domaine complet du collecteur.

• Un certificat d’authentification client doit être installé sur les ordinateurs source d’événements dans le magasin personnel de l’ordinateur local. L’objet de ce certificat doit correspondre au nom de domaine complet de l’ordinateur.

• Si le certificat client a été émis par une autorité de certification différente de celle du collecteur d’événements, ces certificats racine et intermédiaire doivent également être installés sur le collecteur d’événements.

• Si le certificat client a été émis par une autorité de certification intermédiaire et que le collecteur exécute Windows 2012 ou version ultérieure, vous devez configurer la clé de Registre suivante :

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2

• Vérifiez que le serveur et le client sont en mesure d’case activée status de révocation sur tous les certificats. L’utilisation de la commande certutil peut aider à résoudre les erreurs.

Pour plus d’informations, consultez cet article : https://technet.microsoft.com/library/dn786429(v=ws.11).aspx

Configurer l’écouteur sur le collecteur d’événements

1. Définissez l’authentification par certificat avec la commande suivante :

   winrm set winrm/config/service/auth @{Certificate="true"}

2. Un écouteur HTTPS WinRM avec l’empreinte numérique du certificat d’authentification du serveur doit exister sur l’ordinateur collecteur d’événements. Cela peut être vérifié avec la commande suivante :

   winrm e winrm/config/listener

3. Si vous ne voyez pas l’écouteur HTTPS ou si l’empreinte numérique de l’écouteur HTTPS n’est pas identique à l’empreinte numérique du certificat d’authentification du serveur sur l’ordinateur collecteur, vous pouvez supprimer cet écouteur et en créer un avec l’empreinte numérique appropriée. Pour supprimer l’écouteur https, utilisez la commande suivante :

   winrm delete winrm/config/Listener ? Address=*+Transport=HTTPS

   Pour créer un écouteur, utilisez la commande suivante :

   winrm créer winrm/config/Listener ? Address=*+Transport=HTTPS @{Hostname="<FQDN du collecteur> »; CertificateThumbprint="<Empreinte numérique du certificat> d’authentification du serveur"}

Configurer le mappage de certificats sur le collecteur d’événements

1. Créez un utilisateur local.

2. Créez le mappage de certificats à l’aide d’un certificat présent dans les « autorités de certification racines de confiance » ou « autorités de certification intermédiaires » de l’ordinateur.

   Il s’agit du certificat de l’autorité de certification racine ou intermédiaire qui a émis les certificats installés sur les ordinateurs source d’événements (pour éviter toute confusion, il s’agit de l’autorité de certification immédiatement au-dessus du certificat dans la chaîne de certificats) :

   winrm créer winrm/config/service/certmapping ? Issuer=<Empreinte du certificat> d’autorité de certification émettrice+Subject=*+URI=* @{UserName="<username> »; Password="<password>"} -remote:localhost

3. À partir d’un client, testez l’écouteur et le mappage de certificats avec la commande suivante :

   winrm g winrm/config -r:https://<Nom de domaine complet du collecteur d’événements>:5986 -a:certificate -certificate: »<Empreinte numérique du certificat> d’authentification client "

   Cela doit retourner la configuration WinRM du collecteur d’événements. Ne passez pas au-delà de cette étape si la configuration n’est pas affichée.

   Que se passe-t-il à cette étape ?

   • Le client se connecte au collecteur d’événements et envoie le certificat spécifié
   • Le collecteur d’événements recherche l’autorité de certification émettrice et vérifie si le est un mappage de certificat correspondant
   • Le collecteur d’événements valide la chaîne de certificats client et les révocations status
   • Si les étapes ci-dessus réussissent, l’authentification est terminée.

Notes

Vous pouvez obtenir une erreur d’accès refusé en vous plaignant de la méthode d’authentification, ce qui peut être trompeur. Pour résoudre les problèmes, case activée le journal CAPI sur le collecteur d’événements.

4. Répertoriez les entrées certmapping configurées avec la commande : winrm enum winrm/config/service/certmapping

Configuration de l’ordinateur source d’événement

1. Ouvrez une session avec un compte d’administrateur et ouvrez l’éditeur de stratégie de groupe local (gpedit.msc)

2. Accédez à stratégie d’ordinateur local\Configuration de l’ordinateur\Modèles d’administration\Composants Windows\Transfert d’événements.

3. Ouvrez la stratégie « Configurer l’adresse du serveur, l’intervalle d’actualisation et l’autorité de certification de l’émetteur d’un Gestionnaire d’abonnements cible ».

4. Activez la stratégie, puis cliquez sur SubscriptionManagers « Afficher... » Bouton.

5. Dans la fenêtre SubscriptionManagers, entrez la chaîne suivante :

   Server=HTTPS://<Nom de domaine complet du serveur collecteur d’événements>:5986/wsman/SubscriptionManager/WEC,Refresh=<Intervalle d’actualisation en secondes>,IssuerCA=<Empreinte numérique du certificat d’autorité de certification émettrice>

6. Exécutez la ligne de commande suivante pour actualiser les paramètres du stratégie de groupe local :Gpupdate /force

7. Ces étapes doivent produire l’événement 104 dans votre ordinateur source observateur d'événements Journaux des applications et services\Microsoft\Windows\Eventlog-ForwardingPlugin\Journal opérationnel avec le message suivant :

   « Le redirecteur s’est correctement connecté au gestionnaire d’abonnements au nom de domaine complet de l’adresse<, suivi de l’événement 100 avec le message : « L’abonnement <sub_name> a été créé correctement. »>

8. Sur le collecteur d’événements, l’état du runtime de l’abonnement affiche maintenant 1 ordinateur actif.

9. Ouvrez le journal ForwardedEvents sur le collecteur d’événements et case activée si les événements sont transférés à partir des ordinateurs sources.

Accorder l’autorisation sur la clé privée du certificat client sur la source d’événement

1. Ouvrez le console de gestion certificats pour l’ordinateur local sur l’ordinateur source d’événement.
2. Cliquez avec le bouton droit sur le certificat client, puis sur Gérer les clés privées.
3. Accordez l’autorisation lecture à l’utilisateur NETWORK SERVICE.

Configuration de l’abonnement aux événements

1. Ouvrez observateur d'événements dans le Collecteur d’événements et accédez au nœud Abonnements.
2. Cliquez avec le bouton droit sur Abonnements et choisissez « Créer un abonnement... »
3. Donnez un nom et une description facultative pour le nouvel abonnement.
4. Sélectionnez l’option « Ordinateur source initié » et cliquez sur « Sélectionner les groupes d’ordinateurs... ».
5. Dans Groupes d’ordinateurs, cliquez sur « Ajouter des ordinateurs non-domaine... » et tapez le nom d’hôte de la source d’événement.
6. Cliquez sur « Ajouter des certificats... » et ajoutez le certificat de l’autorité de certification qui émet les certificats client. Vous pouvez cliquer dans Afficher le certificat pour valider le certificat.
7. Dans Autorités de certification, cliquez sur OK pour ajouter le certificat.
8. Lorsque vous avez terminé d’ajouter Ordinateurs, cliquez sur OK.
9. De retour aux propriétés de l’abonnement, cliquez sur Sélectionner des événements...
10. Configurez le filtre de requête d’événements en spécifiant le ou les niveaux d’événement, les journaux d’événements ou les sources d’événements, les ID d’événement et toute autre option de filtrage.
11. De retour aux propriétés de l’abonnement, cliquez sur Avancé...
12. Choisissez l’une des options d’optimisation pour la remise d’événements de l’événement source au collecteur d’événements, ou conservez la valeur Normale par défaut :
    1. Réduire la bande passante : les événements qui seront fournis auront une fréquence inférieure pour économiser la bande passante.
    2. Réduire la latence : les événements sont remis dès qu’ils se produisent pour réduire la latence des événements.
13. Remplacez le protocole par HTTPS, puis cliquez sur OK.
14. Cliquez sur OK pour créer l’abonnement.
15. Vérifiez le status d’exécution de l’abonnement en cliquant avec le bouton droit et en choisissant « État d’exécution ».