Share via

Configurando uma assinatura iniciada pela origem

  • Artigo

As assinaturas iniciadas pela origem permitem que você defina uma assinatura em um computador coletor de eventos sem definir os computadores de origem do evento e, em seguida, vários computadores de origem de eventos remotos podem ser configurados (usando uma configuração de política de grupo) para encaminhar eventos para o computador coletor de eventos. Isso difere de uma assinatura iniciada pelo coletor porque, no modelo de assinatura iniciado pelo coletor, o coletor de eventos deve definir todas as fontes de evento na assinatura do evento.

Ao configurar uma assinatura iniciada pela origem, considere se os computadores de origem do evento estão no mesmo domínio que o computador coletor de eventos. As seções a seguir descrevem as etapas a seguir quando as fontes de evento estão no mesmo domínio ou não estão no mesmo domínio que o computador coletor de eventos.

Observação

Qualquer computador em um domínio, local ou remoto, pode ser um coletor de eventos. No entanto, ao escolher um coletor de eventos, é importante selecionar um computador que esteja topologicamente próximo de onde a maioria dos eventos será gerada. Enviar eventos para um computador em um local de rede distante em uma WAN pode reduzir o desempenho geral e a eficiência na coleta de eventos.

Configurando uma assinatura iniciada pela origem em que as fontes de evento estão no mesmo domínio que o computador coletor de eventos

Os computadores de origem do evento e o computador coletor de eventos devem ser configurados para configurar uma assinatura iniciada pela origem.

Observação

Essas instruções pressupõem que você tenha acesso de administrador ao controlador de domínio do Windows Server que atende ao domínio no qual o computador remoto ou os computadores serão configurados para coletar eventos.

Configurando o computador de origem do evento

  1. Execute o seguinte comando em um prompt de comando com privilégios elevados no controlador de domínio do Windows Server para configurar o Gerenciamento Remoto do Windows:

    winrm qc -q

  2. Inicie a política de grupo executando o seguinte comando:

    %SYSTEMROOT%\System32\gpedit.msc

  3. No nó Configuração do Computador , expanda o nó Modelos Administrativos , expanda o nó Componentes do Windows e selecione o nó Encaminhamento de Eventos .

  4. Clique com o botão direito do mouse na configuração SubscriptionManager e selecione Propriedades. Habilite a configuração SubscriptionManager e clique no botão Mostrar para adicionar um endereço de servidor à configuração. Adicione pelo menos uma configuração que especifica o computador coletor de eventos. A janela Propriedades do SubscriptionManager contém uma guia Explicar que descreve a sintaxe da configuração.

  5. Depois que a configuração SubscriptionManager tiver sido adicionada, execute o seguinte comando para garantir que a política seja aplicada:

    gpupdate /force

Configurando o computador coletor de eventos

  1. Execute o seguinte comando em um prompt de comando com privilégios elevados no controlador de domínio do Windows Server para configurar o Gerenciamento Remoto do Windows:

    winrm qc -q

  2. Execute o seguinte comando para configurar o serviço coletor de eventos:

    wecutil qc /q

  3. Crie uma assinatura iniciada pela origem. Isso pode ser feito programaticamente, usando o Visualizador de Eventos ou usando Wecutil.exe. Para obter mais informações sobre como criar a assinatura programaticamente, consulte o exemplo de código em Criando uma assinatura iniciada pela origem. Se você usar Wecutil.exe, deverá criar um arquivo XML de assinatura de evento e usar o seguinte comando:

    wecutil csconfigurationFile.xml

    O XML a seguir é um exemplo do conteúdo de um arquivo de configuração de assinatura que cria uma assinatura iniciada pela origem para encaminhar eventos do log de eventos do aplicativo de um computador remoto para o log ForwardedEvents no computador coletor de eventos.

    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

    Observação

    Ao criar uma assinatura iniciada pela origem, se AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList e DeniedSubjectList estiverem vazios, "O:NSG:NSD:(A;; GA;;;D C)(A;; GA;;; NS)" será usado como descritor de segurança padrão para AllowedSourceDomainComputers. O descritor padrão concede aos membros do grupo de domínio Computadores de Domínio, bem como ao grupo local serviço de rede (para o encaminhador local), a capacidade de gerar eventos para essa assinatura.

Para validar se a assinatura funciona corretamente

  1. No computador coletor de eventos, conclua as seguintes etapas:

    1. Execute o seguinte comando em um prompt de comando com privilégios elevados no controlador de domínio do Windows Server para obter o runtime status da assinatura:

      wecutil gr<subscriptionID>

    2. Verifique se a origem do evento se conectou. Talvez seja necessário aguardar até que o intervalo de atualização especificado na política tenha acabado depois de criar a assinatura para que a origem do evento seja conectada.

    3. Execute o seguinte comando para obter as informações da assinatura:

      wecutil gs<subscriptionID>

    4. Obtenha o valor DeliveryMaxItems das informações da assinatura.

  2. No computador de origem do evento, gere os eventos que correspondem à consulta da assinatura do evento. O número de eventos DeliveryMaxItems deve ser gerado para que os eventos sejam encaminhados.

  3. No computador coletor de eventos, valide se os eventos foram encaminhados para o log ForwardedEvents ou para o log especificado na assinatura.

Encaminhando o log de segurança

Para poder encaminhar o log de segurança, você precisa adicionar a conta NETWORK SERVICE ao grupo Leitores do EventLog.

Configurando uma assinatura iniciada pela origem em que as fontes de evento não estão no mesmo domínio que o computador coletor de eventos

Observação

Essas instruções pressupõem que você tenha acesso de administrador a um controlador de domínio do Windows Server. Nesse caso, como o computador ou os computadores do coletor de eventos remotos não estão no domínio atendido pelo controlador de domínio, é essencial iniciar um cliente individual definindo o Gerenciamento Remoto do Windows como "automático" usando Serviços (services.msc). Como alternativa, você pode executar "winrm quickconfig" em cada cliente remoto.

Os pré-requisitos a seguir devem ser atendidos antes que a assinatura seja criada.

  1. No computador coletor de eventos, execute os seguintes comandos em um prompt de comando com privilégios elevados para configurar o Gerenciamento Remoto do Windows e o serviço Coletor de Eventos:

    winrm qc -q

    wecutil qc /q

  2. O computador coletor deve ter um certificado de autenticação de servidor (certificado com uma finalidade de autenticação de servidor) em um repositório de certificados de computador local.

  3. No computador de origem do evento, execute o seguinte comando para configurar o Gerenciamento Remoto do Windows:

    winrm qc -q

  4. O computador de origem deve ter um certificado de autenticação de cliente (certificado com uma finalidade de autenticação de cliente) em um repositório de certificados de computador local.

  5. A porta 5986 é aberta no computador coletor de eventos. Para abrir essa porta, execute o comando :

    netsh firewall add portopening TCP 5986 "Winrm HTTPS Remote Management"

Requisitos de certificados

  • Um certificado de autenticação de servidor deve ser instalado no computador coletor de eventos no repositório Pessoal do computador local. O assunto desse certificado deve corresponder ao FQDN do coletor.

  • Um certificado de autenticação de cliente deve ser instalado nos computadores de origem do evento no repositório Pessoal do computador local. O assunto desse certificado deve corresponder ao FQDN do computador.

  • Se o certificado do cliente tiver sido emitido por uma Autoridade de Certificação diferente da do Coletor de Eventos, esses certificados Raiz e Intermediário também precisarão ser instalados no Coletor de Eventos.

  • Se o certificado do cliente tiver sido emitido por uma autoridade de certificação intermediária e o coletor estiver executando o Windows 2012 ou posterior, você precisará configurar a seguinte chave do Registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2

  • Verifique se o servidor e o cliente podem marcar com êxito status de revogação em todos os certificados. O uso do comando certutil pode ajudar na solução de problemas de erros.

Encontre mais informações neste artigo: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx

Configurar o ouvinte no coletor de eventos

  1. Defina a autenticação de certificado com o seguinte comando:

    winrm set winrm/config/service/auth @{Certificate="true"}

  2. Um ouvinte HTTPS do WinRM com a impressão digital do certificado de autenticação do servidor deve existir no computador coletor de eventos. Isso pode ser verificado com o seguinte comando:

    winrm e winrm/config/listener

  3. Se você não vir o ouvinte HTTPS ou se a impressão digital do ouvinte HTTPS não for igual à impressão digital do certificado de autenticação do servidor no computador coletor, você poderá excluir esse ouvinte e criar um novo com a impressão digital correta. Para excluir o ouvinte https, use o seguinte comando:

    winrm delete winrm/config/Listener? Address=*+Transport=HTTPS

    Para criar um ouvinte, use o seguinte comando:

    winrm create winrm/config/Listener? Address=*+Transport=HTTPS @{Hostname="<FQDN do coletor>"; CertificateThumbprint="<Impressão digital do certificado> de autenticação do servidor"}

Configurar o mapeamento de certificado no Coletor de Eventos

  1. Crie um novo usuário local.

  2. Crie o mapeamento de certificado usando um certificado presente nas "Autoridades de Certificação Raiz Confiáveis" ou "Autoridades de Certificação Intermediárias" do computador.

    Esse é o certificado da AC Raiz ou Intermediária que emitiu os certificados instalados nos computadores de origem do evento (para evitar confusão, essa é a AC imediatamente acima do certificado na cadeia de certificados):

    winrm create winrm/config/service/certmapping? Issuer=<Thumbprint of the issuing CA certificate>+Subject=*+URI=* @{UserName="<username>"; Password="<password>"} -remote:localhost

  3. Em um cliente, teste o ouvinte e o mapeamento de certificado com o seguinte comando:

    winrm g winrm/config -r:https://<FQDN> do Coletor de Eventos :5986 -a:certificate -certificate:"<Impressão digital do certificado> de autenticação do cliente "

    Isso deve retornar a configuração winrm do coletor de eventos. Não passe essa etapa se a configuração não for exibida.

    O que acontece nesta etapa?

    • O cliente se conecta ao Coletor de Eventos e envia o certificado especificado
    • O Coletor de Eventos procura a AC emissora e verifica se o é um mapeamento de certificado correspondente
    • O Coletor de Eventos valida a cadeia de certificados e revogações do cliente status
    • Se as etapas acima forem bem-sucedidas, a autenticação será concluída.

Observação

Você pode receber um erro do Access negado reclamando do método de autenticação, o que pode ser enganoso. Para solucionar problemas, marcar o log CAPI no Coletor de Eventos.

  1. Listar as entradas de certificado configuradas com o comando: winrm enum winrm/config/service/certmapping

Configuração do computador de origem do evento

  1. Faça logon com uma conta de administrador e abra o Editor de Política de Grupo Local (gpedit.msc)

  2. Navegue até a Política do Computador Local\Configuração do Computador\Modelos Administrativos\Componentes do Windows\Encaminhamento de Eventos.

  3. Abra a política "Configurar o endereço do servidor, o intervalo de atualização e a autoridade de certificação do emissor de um Gerenciador de Assinaturas de destino".

  4. Habilite a política e clique em AssinaturaGerenciadores "Mostrar..." Botão.

  5. Na janela SubscriptionManagers, insira a seguinte cadeia de caracteres:

    Server=HTTPS://<FQDN do servidor coletor de eventos>:5986/wsman/SubscriptionManager/WEC,Refresh=<Intervalo de atualização em segundos>,IssuerCA=<Impressão digital do certificado de autoridade de certificação emissor>

  6. Execute a linha de comando a seguir para atualizar configurações de Política de Grupo local:Gpupdate /force

  7. Essas etapas devem produzir o evento 104 no computador de origem Visualizador de Eventos Logs de Aplicativos e Serviços\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational log com a seguinte mensagem:

    "O encaminhador se conectou com êxito ao gerenciador de assinaturas no endereço <FQDN>seguido pelo evento 100 com a mensagem: "A assinatura <sub_name> foi criada com êxito.".

  8. No Coletor de Eventos, o Status do Runtime da Assinatura mostrará agora 1 Computador ativo.

  9. Abra o log ForwardedEvents no Coletor de Eventos e marcar se você tiver os eventos encaminhados dos computadores de origem.

Conceder permissão na chave privada do certificado do cliente na origem do evento

  1. Abra o console de gerenciamento certificados para o computador Local no computador de Origem do Evento.
  2. Clique com o botão direito do mouse no certificado do cliente e em Gerenciar chaves privadas.
  3. Conceda permissão de leitura ao usuário DO SERVIÇO DE REDE.

Configuração da assinatura de evento

  1. Abra Visualizador de Eventos no Coletor de Eventos e navegue até o nó Assinaturas.
  2. Clique com o botão direito do mouse em Assinaturas e escolha "Criar Assinatura..."
  3. Dê um nome e uma descrição opcional para a nova Assinatura.
  4. Selecione a opção "Computador de origem iniciado" e clique em "Selecionar Grupos de Computadores...".
  5. Em Grupos de Computadores, clique em "Adicionar computadores não domínio..." e digite o nome do host de origem do evento.
  6. Clique em "Adicionar Certificados..." e adicione o certificado da autoridade de certificação que emite os certificados do cliente. Você pode clicar em Exibir Certificado para validar o certificado.
  7. Em Autoridades de Certificação, clique em OK para adicionar o certificado.
  8. Quando terminar de adicionar Computadores, clique em OK.
  9. De volta às Propriedades da Assinatura, clique em Selecionar Eventos...
  10. Configure o Filtro de Consulta de Eventos especificando os níveis de evento, os logs de eventos ou as origens do evento, as IDs do evento e quaisquer outras opções de filtragem.
  11. De volta às Propriedades da Assinatura, clique em Avançado...
  12. Escolha uma das opções de otimização para entrega de eventos do Evento de Origem para o Coletor de Eventos ou deixe o padrão Normal:
    1. Minimizar a largura de banda: os eventos serão entregues com menos frequência para salvar a largura de banda.
    2. Minimizar a Latência: os eventos serão entregues assim que ocorrerem para reduzir a latência de eventos.
  13. Altere o Protocolo para HTTPS e clique em OK.
  14. Clique em OK para criar a nova assinatura.
  15. Verifique o status de runtime da Assinatura clicando com o botão direito do mouse e escolhendo "Status do runtime"