Configuração de uma assinatura iniciada pela origem
As assinaturas iniciadas pela origem permitem que você defina uma assinatura em um computador do coletor de eventos sem definir os computadores de origem do evento e, em seguida, vários computadores de origem do eventos remotos podem ser configurados (usando uma configuração de política de grupo) para encaminhar eventos para o computador do coletor de eventos. Isso difere de uma assinatura iniciada pelo coletor porque, no modelo de assinatura iniciada pelo coletor, o coletor de eventos deve definir todas as origens de evento na assinatura do evento.
Ao configurar uma assinatura iniciada pela origem, considere se os computadores de origem do evento estão no mesmo domínio que o computador do coletor de eventos. As seções a seguir descrevem as etapas a serem seguidas quando as origens de eventos estão no mesmo domínio ou não no mesmo domínio do que o computador do coletor de eventos.
Observação
Qualquer computador em um domínio, local ou remoto, pode ser um coletor de eventos. No entanto, ao escolher um coletor de eventos, é importante selecionar um computador que esteja topologicamente próximo de onde a maioria dos eventos será gerada. O envio de eventos para um computador em um local de rede distante em uma WAN pode reduzir o desempenho geral e a eficiência na coleta de eventos.
A configuração de uma assinatura iniciada pela origem em que as origens de eventos estão no mesmo domínio do que o computador do coletor de eventos
Os computadores de origem do evento e o computador do coletor de eventos devem ser configurados para configurar uma assinatura iniciada pela origem.
Observação
Essas instruções pressupõem que você tenha acesso de administrador ao controlador de domínio do Windows Server que atende ao domínio no qual o computador ou computadores remotos serão configurados para coletar eventos.
Configuração do computador de origem do evento
Execute o seguinte comando em um prompt de comando com privilégio elevado no controlador de domínio do Windows Server para configurar o Gerenciamento Remoto do Windows:
winrm qc -q
Inicie a política de grupo executando o comando a seguir:
%SYSTEMROOT%\System32\gpedit.msc
No nó Configuração do Computador, expanda o nó Modelos Administrativos, então expanda o nó Componentes do Windows, depois selecione o nó Encaminhamento de Eventos.
Clique com o botão direito do mouse na configuração SubscriptionManager e selecione Propriedades. Habilite a configuração SubscriptionManager e clique no botão Mostrar para adicionar um endereço de servidor à configuração. Adicione pelo menos uma configuração que especifique o computador do coletor de eventos. A janela Propriedades do SubscriptionManager contém uma guia Explicar que descreve a sintaxe da configuração.
Depois que a configuração SubscriptionManager for adicionada, execute o seguinte comando para garantir que a política seja aplicada:
gpupdate /force
Configuração do computador do coletor de eventos
Execute o seguinte comando em um prompt de comando com privilégio elevado no controlador de domínio do Windows Server para configurar o Gerenciamento Remoto do Windows:
winrm qc -q
Execute o comando a seguir para configurar o serviço Coletor de Eventos:
wecutil qc /q
Crie uma assinatura iniciada pela origem. Isso pode ser feito programaticamente, usando o Visualizador de Eventos ou usando Wecutil.exe. Para obter mais informações sobre como criar a assinatura programaticamente, consulte o exemplo de código em Criação de uma assinatura iniciada pela origem. Se você usar Wecutil.exe, deverá criar um arquivo XML de assinatura de evento e usar o seguinte comando:
wecutil cs configurationFile.xml
O XML a seguir é um exemplo do conteúdo de um arquivo de configuração de assinatura que cria uma assinatura iniciada pela origem para encaminhar eventos do Log de eventos do aplicativo de um computador remoto para o log ForwardedEvents no computador do coletor de eventos.
<Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription"> <SubscriptionId>SampleSISubscription</SubscriptionId> <SubscriptionType>SourceInitiated</SubscriptionType> <Description>Source Initiated Subscription Sample</Description> <Enabled>true</Enabled> <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri> <!-- Use Normal (default), Custom, MinLatency, MinBandwidth --> <ConfigurationMode>Custom</ConfigurationMode> <Delivery Mode="Push"> <Batching> <MaxItems>1</MaxItems> <MaxLatencyTime>1000</MaxLatencyTime> </Batching> <PushSettings> <Heartbeat Interval="60000"/> </PushSettings> </Delivery> <Expires>2018-01-01T00:00:00.000Z</Expires> <Query> <![CDATA[ <QueryList> <Query Path="Application"> <Select>Event[System/EventID='999']</Select> </Query> </QueryList> ]]> </Query> <ReadExistingEvents>true</ReadExistingEvents> <TransportName>http</TransportName> <ContentFormat>RenderedText</ContentFormat> <Locale Language="en-US"/> <LogFile>ForwardedEvents</LogFile> <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers> <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers> </Subscription>
Observação
Ao criar uma assinatura iniciada pela origem, se AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList e DeniedSubjectList estiverem todos vazios, "O:NSG:NSD:(A;; GA;;; DC)(A;; GA;;; NS)" será usado como o descritor de segurança padrão para AllowedSourceDomainComputers. O descritor padrão concede aos membros do grupo de domínio Computadores de Domínio, bem como ao grupo Serviço de Rede local (para o encaminhador local), a capacidade de gerar eventos para essa assinatura.
Para validar se a assinatura funciona corretamente
No computador do coletor de eventos, conclua estas etapas:
Execute o comando a seguir em um prompt de comando com privilégio elevado no controlador de domínio do Windows Server para obter o status de runtime da assinatura:
wecutil gr <subscriptionID>
Verifique se a origem do evento está conectada. Talvez seja necessário aguardar até que o intervalo de atualização especificado na política termine depois de criar a assinatura para que a origem do evento seja conectada.
Execute o comando a seguir para obter as informações sobre a assinatura:
wecutil gs <subscriptionID>
Obtenha o valor DeliveryMaxItems das informações sobre a assinatura.
No computador de origem do evento, gere os eventos que correspondem à consulta da assinatura do evento. O número de eventos DeliveryMaxItems deve ser gerado para que os eventos sejam encaminhados.
No computador do coletor de eventos, valide se os eventos foram encaminhados para o log ForwardedEvents ou para o log especificado na assinatura.
Encaminhamento do log de segurança
Para poder encaminhar o log de Segurança, você precisa adicionar a conta NETWORK SERVICE ao grupo Leitores do Log de Eventos.
A configuração de uma assinatura iniciada pela origem em que as origens de eventos não estão no mesmo domínio do que o computador do coletor de eventos
Observação
Essas instruções pressupõem que você tenha acesso de administrador a um controlador de domínio do Windows Server. Nesse caso, como o computador ou os computadores do coletor de eventos remotos não estão no domínio servido pelo controlador de domínio, é essencial iniciar um cliente individual definindo o Gerenciamento Remoto do Windows como "automático" usando Serviços (services.msc). Como alternativa, você pode executar "winrm quickconfig" em cada cliente remoto.
Os pré-requisitos a seguir devem ser atendidos antes que a assinatura seja criada.
No computador do coletor de eventos, execute os seguintes comandos em um prompt de comando de privilégio elevado para configurar o Gerenciamento Remoto do Windows e o serviço Coletor de Eventos:
winrm qc -q
wecutil qc /q
O computador coletor deve ter um certificado de autenticação de servidor (certificado com finalidade de autenticação de servidor) no repositório de certificados de um computador local.
No computador de origem do evento, execute o seguinte comando para configurar o Gerenciamento Remoto do Windows:
winrm qc -q
O computador de origem deve ter um certificado de autenticação de cliente (certificado com finalidade de autenticação de cliente) no repositório de certificados de um computador local.
A porta 5986 é aberta no computador do coletor de eventos. Para abrir essa porta, execute o comando:
netsh firewall add portopening TCP 5986 "Gerenciamento Remoto de HTTPS Winrm"
Requisitos dos certificados
Um certificado de autenticação de servidor deve ser instalado no computador do Coletor de Eventos no repositório Pessoal do computador Local. O assunto desse certificado deve corresponder ao FQDN do coletor.
Um certificado de autenticação de cliente deve ser instalado nos computadores da Origem do Evento no repositório Pessoal do computador Local. O assunto desse certificado deve corresponder ao FQDN do computador.
Se o certificado do cliente tiver sido emitido por uma Autoridade de Certificação diferente da do Coletor de Eventos, esses certificados Raiz e Intermediário também precisarão ser instalados no Coletor de Eventos.
Se o certificado do cliente tiver sido emitido por uma autoridade de certificação intermediária e o coletor estiver executando o Windows 2012 ou posterior, você precisará configurar a seguinte chave do Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2
Verifique se o servidor e o cliente são capazes de verificar com êxito o status de revogação em todos os certificados. O uso do comando certutil pode ajudar na solução de erros.
Encontre mais informações neste artigo: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx
Configurar o ouvinte no Coletor de eventos
Defina a autenticação do certificado com o seguinte comando:
winrm set winrm/config/service/auth @{Certificate="true"}
Um ouvinte HTTPS do WinRM com a impressão digital do certificado de autenticação do servidor deve existir no computador do coletor de eventos. Isso pode ser verificado com o seguinte comando:
winrm e winrm/config/listener
Se você não vir o ouvinte HTTPS ou se a impressão digital do ouvinte HTTPS não for igual à impressão digital do certificado de autenticação do servidor no computador do coletor, você poderá excluir esse ouvinte e criar um novo com a impressão digital correta. Para excluir o ouvinte https, use este comando:
winrm delete winrm/config/Listener?Address=*+Transport=HTTPS
Para criar um ouvinte, use este comando:
winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="<FQDN do coletor>";CertificateThumbprint="<Impressão digital do certificado de autenticação do servidor>"}
Configurar o mapeamento de certificados no Coletor de Eventos
Crie o usuário local.
Torne esse novo usuário um administrador local no coletor.
Crie o mapeamento de certificado usando um certificado que esteja presente nas "Autoridades de Certificação Raiz Confiáveis" ou "Autoridades de Certificação Intermediárias" do computador.
Observação
Este é o certificado das Autoridades de Certificação Raiz ou Intermediárias (AC) que emitiram os certificados instalados nos computadores de Origem do Evento (a AC imediatamente acima do certificado na cadeia de certificados):
winrm create winrm/config/service/certmapping?Issuer=<Impressão digital do certificado da AC emissora>+Subject=*+URI=* @{UserName="<nomedeusuário>";Password="<senha>"} -remote:localhost
Em um cliente, use o seguinte comando para testar o listener e o mapeamento do certificado:
winrm g winrm/config -r:https://<FQDN do Coletor de Eventos>:5986 -a:certificate -certificate:"<Impressão digital do certificado de autenticação do cliente>"
Isso deve retornar a configuração do WinRM do Coletor de eventos. Não passe desta etapa se a configuração não for exibida.
O que acontece nesta etapa?
- O cliente se conecta ao Coletor de Eventos e envia o certificado especificado.
- O Coletor de Eventos procura a AC emissora e verifica se o é um mapeamento de certificados correspondente.
- O Coletor de Eventos valida a cadeia de certificados do cliente e o status das revogações.
- Se essas etapas forem bem-sucedidas, a autenticação será concluída.
Observação
Você pode receber um erro de Acesso negado reclamando sobre o método de autenticação, o que pode ser enganoso. Para solucionar problemas, verifique o log do CAPI no Coletor de Eventos.
- Liste as entradas de certmapping configuradas com o comando: winrm enum winrm/config/service/certmapping
Observação
O usuário local criado na etapa 1 nunca é usado para representar o usuário que se conecta por meio da autenticação de certificado em um cenário de encaminhamento de log de eventos e pode ser excluído posteriormente. Se você planeja usar a autenticação de certificado em um cenário diferente, como o Powershell Remoto, não exclua o usuário Local.
Configuração do computador da Origem do Evento
Faça logon com uma conta de administrador e abra o Editor de Política de Grupo Local (gpedit.msc)
Navegue até a Política do Computador Local\Configuração do Computador\Modelos Administrativos\Componentes do Windows\Encaminhamento de Eventos.
Abra a política "Configurar o endereço do servidor, o intervalo de atualização e a autoridade de certificação do emissor de um Gerenciador de Assinaturas de destino".
Habilite a política e clique no botão "Mostrar..." de SubscriptionManagers.
Na janela SubscriptionManagers, insira a seguinte cadeia de caracteres:
Server=HTTPS://<FQDN do servidor do Coletor de Eventos>:5986/wsman/SubscriptionManager/WEC,Refresh=<Intervalo de atualização em segundos>,IssuerCA=<Impressão digital do certificado da AC emissora>
Execute a seguinte linha de comando para atualizar as configurações da Política de Grupo Local:Gpupdate /force
Essas etapas devem produzir o evento 104 em Logs de Aplicativos e Serviços do Visualizador de Eventos\Microsoft\Windows\Eventlog-ForwardingPlugin\Log operacional do computador de origem com a seguinte mensagem:
"O encaminhador se conectou com êxito ao gerenciador de assinaturas no endereço <FQDN>seguido pelo evento 100 com a mensagem: "O <sub_name> da assinatura foi criado com êxito".
No Coletor de Eventos, o Status do Runtime da Assinatura mostrará agora 1 computador Ativo.
Abra o log ForwardedEvents no Coletor de Eventos e verifique se você tem os eventos encaminhados dos computadores da Origem.
Conceder permissão na chave privada do certificado do cliente na Origem do Evento
- Abra o console de gerenciamento de Certificados para Computador local no computador da Origem do Evento.
- Clique com o botão direito do mouse no certificado de cliente e depois em Gerenciar chaves privadas.
- Conceda a permissão de Leitura ao usuário NETWORK SERVICE.
Configuração da assinatura do evento
- Abra o Visualizador de Eventos no Coletor de Eventos e navegue até o nó Assinaturas.
- Clique com o botão direito do mouse em Assinaturas e escolha "Criar Assinatura..."
- Dê um nome e uma descrição opcional para a nova Assinatura.
- Selecione a opção "Computador de origem iniciado" e clique em "Selecionar Grupos de Computadores...".
- Em Grupos de Computadores, clique em "Adicionar Computadores que Não Sejam do Domínio..." e digite o nome do host de origem do evento.
- Clique em "Adicionar Certificados..." e adicione o certificado da Autoridade de certificação que emite os certificados do cliente. Você pode clicar em Exibir Certificado para validar o certificado.
- Em Autoridades de Certificação, clique em OK para adicionar o certificado.
- Quando terminar de adicionar Computadores, clique em OK.
- De volta às Propriedades da Assinatura, clique em Selecionar Eventos...
- Configure o Filtro de Consulta de Eventos especificando o(s) nível(is) de evento, o(s) log(s) de eventos ou a(s) fonte(s) do evento, a(s) ID(s) do evento e quaisquer outras opções de filtragem.
- De volta às Propriedades da Assinatura, clique em Avançado...
- Escolha uma das opções de otimização para entrega de eventos do Evento de Origem para o Coletor de Eventos ou deixe o padrão Normal:
- Minimizar Largura de Banda: os eventos serão entregues com menos frequência para economizar largura de banda.
- Minimizar Latência: os eventos serão entregues assim que ocorrerem para reduzir a latência dos eventos.
- Altere o Protocolo para HTTPS e clique em OK.
- Clique em OK para criar a assinatura.
- Verifique o status de runtime da Assinatura clicando com o botão direito do mouse e escolhendo "Status de Runtime"