共用方式為

設定來源起始的訂用帳戶

  • 發行項

來源起始的訂用帳戶可讓您在事件收集器電腦上定義訂用帳戶,而不定義事件來源電腦,然後使用群組原則設定來 (設定多個遠端事件來源電腦,) 將事件轉送到事件收集器電腦。 這與收集器起始的訂用帳戶不同,因為在收集器起始的訂用帳戶模型中,事件收集器必須定義事件訂閱中的所有事件來源。

設定來源起始的訂用帳戶時,請考慮事件來源電腦是否位於與事件收集器電腦相同的網域中。 下列各節說明當事件來源位於與事件收集器電腦位於相同網域中或與事件收集器電腦位於相同網域時所要遵循的步驟。

注意

網域或遠端中的任何電腦都可以是事件收集器。 不過,選擇事件收集器時,請務必選取最接近大部分事件產生位置的電腦。 將事件傳送至 WAN 上遠方網路位置的電腦,可以降低事件收集的整體效能和效率。

設定來源起始的訂用帳戶,其中事件來源位於與事件收集器電腦相同的網域中

事件來源電腦和事件收集器電腦都必須設定為設定來源起始的訂用帳戶。

注意

這些指示假設您有 Windows Server 網域控制站的系統管理員存取權,該網域控制站提供遠端電腦或電腦將設定為收集事件的網域。

設定事件來源電腦

  1. 從 Windows Server 網域控制站上提高許可權的許可權命令提示字元執行下列命令,以設定 Windows 遠端系統管理:

    winrm qc -q

  2. 執行下列命令來啟動群組原則:

    %SYSTEMROOT%\System32\gpedit.msc

  3. 在 [ 電腦設定 ] 節點下,展開 [ 系統管理範本 ] 節點,然後展開 [Windows 元件 ] 節點,然後選取 [ 事件轉送 ] 節點。

  4. 以滑鼠右鍵按一下 SubscriptionManager 設定,然後選取 [ 屬性]。 啟用 SubscriptionManager 設定,然後按一下 [ 顯示 ] 按鈕,將伺服器位址新增至設定。 新增至少一個指定事件收集器電腦的設定。 SubscriptionManager 屬性視窗包含 [說明] 索引標籤,描述設定的語法。

  5. 新增 SubscriptionManager 設定之後,請執行下列命令以確保套用原則:

    gpupdate /force

設定事件收集器電腦

  1. 從 Windows Server 網域控制站上提高許可權的許可權命令提示字元執行下列命令,以設定 Windows 遠端系統管理:

    winrm qc -q

  2. 執行下列命令來設定事件收集器服務:

    wecutil qc /q

  3. 建立來源起始的訂用帳戶。 這可以透過程式設計方式、使用 事件檢視器,或使用Wecutil.exe來完成。 如需如何以程式設計方式建立訂閱的詳細資訊,請參閱 建立來源起始的訂用帳戶中的程式碼範例。 如果您使用 Wecutil.exe,您必須建立事件訂用帳戶 XML 檔案,並使用下列命令:

    wecutil csconfigurationFile.xml

    下列 XML 是訂用帳戶組態檔的內容範例,該設定檔會建立來源起始的訂用帳戶,以將遠端電腦的 Application 事件記錄檔事件轉送至事件收集器電腦上的 ForwardedEvents 記錄檔。

    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

    注意

    建立來源起始的訂用帳戶時,如果 AllowedSourceDomainComputers、AllowedSourceNonDomainComputers/IssuerCAList、AllowedSubjectList 和 DeniedSubjectList 全都是空的,則 「O:NSG:NSD: (A;;GA;;;DC) (A;;Ga;;;NS) 「 會作為 AllowedSourceDomainComputers 的預設安全性描述元。 預設描述項會授與網域電腦網域群組的成員,以及本機轉寄站) 的本機網路服務群組 (,讓此訂用帳戶能夠引發事件。

驗證訂用帳戶是否正常運作

  1. 在事件收集器電腦上完成下列步驟:

    1. 從 Windows Server 網域控制站上提高許可權的許可權命令提示字元執行下列命令,以取得訂用帳戶的執行時間狀態:

      wecutil gr< subscriptionID >

    2. 確認事件來源已連線。 在建立要連接事件來源的訂用帳戶之後,您可能需要等到原則中指定的重新整理間隔結束為止。

    3. 執行下列命令以取得訂用帳戶資訊:

      wecutil gs< subscriptionID >

    4. 從訂用帳戶資訊取得 DeliveryMaxItems 值。

  2. 在事件來源電腦上,引發符合事件訂閱查詢的事件。 必須引發 DeliveryMaxItems 事件數目,才能轉送事件。

  3. 在事件收集器電腦上,驗證事件是否已轉送至 ForwardedEvents 記錄或訂用帳戶中指定的記錄。

轉送安全性記錄檔

若要能夠轉送安全性記錄,您必須將 NETWORK SERVICE 帳戶新增至 EventLog 讀取器群組。

設定來源起始的訂用帳戶,其中事件來源與事件收集器電腦不在相同的網域中

注意

這些指示假設您有 Windows Server 網域控制站的系統管理員存取權。 在此情況下,由於遠端事件收集器電腦或電腦 () 不在網域控制站提供的網域中,因此使用 Services (services.msc) 將 Windows 遠端系統管理設定為 「自動」來啟動個別用戶端是不可或缺的。 或者,您可以在每個遠端用戶端上執行 「winrm quickconfig」。

建立訂用帳戶之前,必須符合下列必要條件。

  1. 在事件收集器電腦上,從較高的權限命令提示字元執行下列命令,以設定 Windows 遠端系統管理和事件收集器服務:

    winrm qc -q

    wecutil qc /q

  2. 收集器電腦應該具有伺服器驗證憑證 (憑證,並在本機電腦憑證存放區中使用伺服器驗證目的) 。

  3. 在事件來源電腦上,執行下列命令來設定 Windows 遠端系統管理:

    winrm qc -q

  4. 來源電腦應該具有用戶端驗證憑證 (憑證,並在本機電腦憑證存放區中使用用戶端驗證目的) 。

  5. 在事件收集器電腦上開啟埠 5986。 若要開啟此埠,請執行 命令:

    netsh 防火牆新增埠開啟 TCP 5986 「Winrm HTTPS 遠端系統管理」

憑證需求

  • 伺服器驗證憑證必須安裝在本機電腦個人存放區中的事件收集器電腦上。 此憑證的主體必須符合收集器的 FQDN。

  • 用戶端驗證憑證必須安裝在本機電腦個人存放區中的事件來源電腦上。 此憑證的主體必須符合電腦的 FQDN。

  • 如果用戶端憑證是由與事件收集器之一不同的憑證授權單位單位所簽發,則這些根憑證和中繼憑證也必須安裝在事件收集器上。

  • 如果用戶端憑證是由中繼憑證授權單位單位所簽發,而且收集器正在執行 Windows 2012 或更新版本,您必須設定下列登錄機碼:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2

  • 確認伺服器和用戶端都能夠成功檢查所有憑證的撤銷狀態。 使用 certutil 命令有助於針對任何錯誤進行疑難排解。

如需詳細資訊,請參閱這篇文章: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx

在事件收集器上設定接聽程式

  1. 使用下列命令設定憑證驗證:

    winrm set winrm/config/service/auth @{Certificate=「true」}

  2. 具有伺服器驗證憑證指紋的 WinRM HTTPS 接聽程式應該存在於事件收集器電腦上。 這可以使用下列命令進行驗證:

    winrm e winrm/config/listener

  3. 如果您沒有看到 HTTPS 接聽程式,或 HTTPS 接聽程式的指紋與收集器電腦上的伺服器驗證憑證指紋不同,則可以刪除該接聽程式,並建立具有正確指紋的新接聽程式。 若要刪除 HTTPs 接聽程式,請使用下列命令:

    winrm delete winrm/config/Listener?Address=*+Transport=HTTPS

    若要建立新的接聽程式,請使用下列命令:

    winrm 建立 winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname=「<收集器的> FQDN」;CertificateThumbprint=「<伺服器驗證憑證> 的指紋」}

在事件收集器上設定憑證對應

  1. 建立新的本機使用者。

  2. 使用電腦「受信任的根憑證授權單位」或「中繼憑證授權單位單位」中的憑證建立憑證對應。

    這是在事件來源電腦上安裝憑證的根憑證或中繼 CA 憑證 , (以避免混淆,這是憑證鏈結中憑證正上方的 CA)

    winrm create winrm/config/service/certmapping?<發行 CA 憑證>+主體=*+URI=* @{UserName=「<username> 」 的 Issuer=Thumbprint;Password=「<password>」} -remote:localhost

  3. 從用戶端使用下列命令測試接聽程式和憑證對應:

    winrm g winrm/config -r:HTTPs://<事件收集器 FQDN>:5986 -a:certificate -certificate:」<用戶端驗證憑證> 的指紋"

    這應該會傳回事件收集器的 WinRM 組態。 如果未 顯示組態,請勿移動超過此步驟。

    此步驟會發生什麼事?

    • 用戶端會連線到事件收集器,並傳送指定的憑證
    • 事件收集器會尋找發行 CA,並檢查 是否為相符的憑證對應
    • 事件收集器會驗證用戶端憑證鏈結和撤銷狀態
    • 如果上述步驟成功,則驗證已完成。

注意

您可能會收到拒絕存取錯誤,抱怨驗證方法可能會造成誤導。 若要進行疑難排解,請檢查事件收集器上的 CAPI 記錄檔。

  1. 使用 命令列出已設定的 certmapping 專案: winrm 列舉 winrm/config/service/certmapping

事件來源電腦設定

  1. 使用系統管理員帳戶登入,然後開啟 [本機群組原則編輯器] (gpedit.msc)

  2. 流覽至 [本機電腦原則\電腦設定\系統管理範本\Windows 元件\事件轉送]。

  3. 開啟 [設定目標訂用帳戶管理員的伺服器位址、重新整理間隔和簽發者憑證授權單位單位] 原則。

  4. 啟用原則,然後按一下 [訂用帳戶][管理者][顯示...]按鈕。

  5. 在 [SubscriptionManagers] 視窗中,輸入下列字串:

    Server=HTTPS://<事件收集器伺服器的> FQDN:5986/wsman/SubscriptionManager/WEC,Refresh=<以秒 >為單位的重新整理間隔,IssuerCA=<發行 CA 憑證的指紋>

  6. 執行下列命令列以重新整理本機群組原則設定:Gpupdate /force

  7. 這些步驟應該會在來源電腦中產生事件 104,事件檢視器 Applications and Services Logs\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational log,並顯示下列訊息:

    「轉寄站已成功連線到位址 < FQDN > 的訂用帳戶管理員,後面接著事件 100,並顯示訊息:「已成功建立訂 < 用帳戶sub_name > 」。

  8. 在事件收集器上,[訂閱執行時間狀態] 現在會顯示 1 部作用中電腦。

  9. 開啟事件收集器上的 ForwardedEvents 記錄檔,並檢查您是否有從來源電腦轉送的事件。

在事件來源上授與用戶端憑證私密金鑰的許可權

  1. 在 [事件來源] 電腦上開啟 [本機電腦的憑證] 管理主控台。
  2. 以滑鼠右鍵按一下用戶端憑證,然後按一下 [管理私密金鑰]。
  3. 將讀取權限授與 NETWORK SERVICE 使用者。

事件訂用帳戶設定

  1. 在事件收集器中開啟事件檢視器,然後流覽至 [訂用帳戶] 節點。
  2. 以滑鼠右鍵按一下 [訂用帳戶],然後選擇 [建立訂用帳戶...]
  3. 提供新訂閱的名稱和選擇性描述。
  4. 選取 [來源電腦起始] 選項,然後按一下 [選取電腦群組...]。
  5. 在 [電腦群組] 中,按一下 [新增非網域電腦...] 並輸入事件來源主機名稱。
  6. 按一下 [新增憑證...] 並新增發行用戶端憑證的憑證授權單位單位憑證。 您可以按一下 [檢視憑證] 來驗證憑證。
  7. 在 [憑證授權單位單位] 中,按一下 [確定] 以新增憑證。
  8. 完成新增電腦時,按一下 [確定]。
  9. 回到訂用帳戶屬性,按一下 [選取事件...
  10. 藉由指定事件層級 () 、事件記錄檔 () (或事件來源 () 、事件識別碼 () 或任何其他篩選選項,來設定事件查詢篩選。
  11. 回到訂用帳戶屬性,按一下 [進階...]
  12. 選擇其中一個優化選項,將事件從來源事件傳遞至事件收集器,或保留預設的 [一般]:
    1. 最小頻寬:將傳遞事件的頻率會降低以節省頻寬的頻率。
    2. 最小化延遲:事件會在發生時立即傳遞,以減少事件延遲。
  13. 將 [通訊協定] 變更為 [HTTPS],然後按一下 [確定]。
  14. 按一下 [確定] 以建立新的訂用帳戶。
  15. 以滑鼠右鍵按一下並選擇 [執行時間狀態] 來檢查訂用帳戶的執行時間狀態