共用方式為

設定來源起始的訂用帳戶

來源起始的訂用帳戶可讓您在事件收集器計算機上定義訂用帳戶,而不定義事件來源計算機,然後可以設定多個遠端事件來源電腦(使用組策略設定)將事件轉送至事件收集器計算機。 這與收集器起始的訂用帳戶不同,因為在收集器起始的訂閱模型中,事件收集器必須定義事件訂閱中的所有事件來源。

設定來源起始的訂用帳戶時,請考慮事件來源計算機是否位於與事件收集器計算機相同的網域中。 下列各節說明當事件來源位於與事件收集器計算機位於相同網域或不在相同網域時所要遵循的步驟。

注意

網域或遠端中的任何電腦都可以是事件收集器。 不過,選擇事件收集器時,請務必選取最接近產生大部分事件位置的計算機。 將事件傳送至WAN上遠端網路位置的計算機,可以降低事件收集的整體效能和效率。

設定來源起始的訂用帳戶,其中事件來源位於與事件收集器電腦相同的網域中

事件來源計算機和事件收集器計算機都必須設定為設定來源起始的訂用帳戶。

注意

這些指示假設您具有 Windows Server 網域控制器的系統管理員存取權,而這個域控制器所服務的網域是將遠端電腦或多台電腦設定為收集事件的地方。

設定事件來源計算機

  1. 從 Windows Server 域控制器上的提高權限命令提示字元執行下列命令,以設定 Windows 遠端管理:

    winrm qc -q

  2. 執行下列命令來啟動群組原則:

    %SYSTEMROOT%\System32\gpedit.msc

  3. 在 [計算機設定] 節點底下,展開 [系統管理範本] 節點,然後展開 [Windows 元件] 節點,然後選取 [事件轉送 節點。

  4. 以滑鼠右鍵按一下 [SubscriptionManager] 設定,然後選取 [屬性]。 啟用 SubscriptionManager 設定,然後按兩下 [顯示] 按鈕,將伺服器位址新增至設定。 新增至少一個指定事件收集器計算機的設定。 SubscriptionManager 屬性 視窗包含描述設定語法的 說明 標籤頁。

  5. 新增 SubscriptionManager 設定之後,請執行下列命令以確保套用原則:

    gpupdate /force

設定事件收集器計算機

  1. 從 Windows Server 域控制器上的提高權限命令提示字元執行下列命令,以設定 Windows 遠端管理:

    winrm qc -q

  2. 執行下列命令來設定事件收集器服務:

    wecutil qc /q

  3. 建立來源起始的訂用帳戶。 這可以透過程序設計方式、使用事件查看器,或使用 Wecutil.exe來完成。 如需如何以程式設計方式建立訂閱的詳細資訊,請參閱 建立來源起始訂閱中的程式碼範例。 如果您使用 Wecutil.exe,您必須建立事件訂用帳戶 XML 檔案,並使用下列命令:

    wecutil csconfigurationFile.xml

    下列 XML 是訂用帳戶組態檔的內容範例,該配置檔會建立來源起始的訂用帳戶,將事件從遠端電腦的 Application 事件記錄檔轉送至事件收集器電腦上的 ForwardedEvents 記錄。

    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

    注意

    建立來源啟動的訂閱時,如果 AllowedSourceDomainComputers、AllowedSourceNonDomainComputers/IssuerCAList、AllowedSubjectList 和 DeniedSubjectList 都是空的,則 "O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)" 將作為 AllowedSourceDomainComputers 的預設安全描述符。 預設描述符會授予網域電腦網域群組的成員,以及本機網路服務群組(針對本機轉寄者),觸發此訂閱事件的權限。

驗證訂用帳戶是否正常運作

  1. 在事件收集器電腦上,完成下列步驟:

    1. 從 Windows Server 域控制器上的提升權限的命令提示字元執行下列命令,以取得訂閱的運行狀態:

      wecutil gr<subscriptionID>

    2. 確認事件來源已連線。 在建立訂閱事件來源後,您可能需要等到原則中指定的重新整理間隔結束,才能連接該事件來源。

    3. 執行下列命令以取得訂用帳戶資訊:

      wecutil gs<subscriptionID>

    4. 從訂用帳戶資訊取得 DeliveryMaxItems 值。

  2. 在事件來源電腦上,引發符合事件訂閱查詢的事件。 要轉送事件,必須提高 DeliveryMaxItems 的事件數目。

  3. 在事件收集器計算機上,驗證事件是否已轉送至 ForwardedEvents 記錄檔或訂用帳戶中指定的記錄。

轉送安全性記錄檔

若要能夠轉送安全性記錄,您必須將 NETWORK SERVICE 帳戶新增至 EventLog Readers 群組。

設定來源起始的訂用帳戶,其中事件來源不在與事件收集器電腦相同的網域中

注意

這些指示假設您有 Windows Server 域控制器的系統管理員存取權。 在此情況下,由於遠端事件收集器計算機或計算機不在域控制器所服務的網域中,因此必須使用 Services (services.msc) 將 Windows 遠端管理設定為「自動」來啟動個別用戶端。 或者,您可以在每個遠端用戶端上執行 「winrm quickconfig」。。

建立訂用帳戶之前,必須先符合下列必要條件。

  1. 在事件收集器計算機上,從提升許可權的命令提示字元執行下列命令,以設定 Windows 遠端管理和事件收集器服務:

    winrm qc -q

    wecutil qc /q

  2. 收集器計算機應該在本機計算機證書存儲中具有伺服器驗證憑證(具有伺服器驗證用途的憑證)。

  3. 在事件來源電腦上,執行下列命令來設定 Windows 遠端管理:

    winrm qc -q

  4. 來源計算機應在本機計算機證書存儲中具有客戶端驗證憑證(具有客戶端驗證用途的憑證)。

  5. 事件收集器計算機上會開啟埠 5986。 若要開啟此連接埠,請執行 命令:

    netsh 防火牆新增埠開啟 TCP 5986 “Winrm HTTPS 遠端管理”

憑證需求

  • 伺服器驗證憑證必須安裝在本機計算機個人存放區中的事件收集器計算機上。 此憑證的主體必須符合收集器的 FQDN。

  • 用戶端驗證憑證必須安裝在本機計算機個人存放區的事件來源計算機上。 此憑證的主體必須符合計算機的 FQDN。

  • 如果客戶端憑證是由與其中一個事件收集器不同的證書頒發機構單位所簽發,則必須在事件收集器上安裝這些根和中繼憑證。

  • 如果客戶端憑證是由中繼證書頒發機構單位所簽發,而且收集器正在執行 Windows 2012 或更新版本,您必須設定下列登錄機碼:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2

  • 確認伺服器和用戶端都能夠成功檢查所有憑證的撤銷狀態。 使用 certutil 命令可以協助解決各種錯誤問題。

在本文中尋找詳細資訊:https://technet.microsoft.com/library/dn786429(v=ws.11).aspx

在事件收集器上設定接聽程式

  1. 使用下列命令設定憑證驗證:

    winrm set winrm/config/service/auth '@{Certificate=“true”}'

  2. 具有伺服器驗證憑證指紋的 WinRM HTTPS 接聽程式應該存在於事件收集器電腦上。 這可以使用下列命令進行驗證:

    winrm e winrm/config/listener

  3. 如果您沒有看到 HTTPS 接聽程式,或 HTTPS 接聽程式的指紋與收集器電腦上的伺服器驗證憑證指紋不同,則可以刪除該接聽程式,並建立具有正確指紋的新接聽程式。 若要刪除 HTTPs 接聽程式,請使用下列命令:

    winrm delete winrm/config/Listener?Address=*+Transport=HTTPS

    若要建立新的接聽程式,請使用下列命令:

    winrm create winrm/config/Listener Address=*+Transport=HTTPS '@{Hostname="<收集器的 FQDN>";CertificateThumbprint="<伺服器驗證憑證的指紋>"}'

在事件收集器上配置憑證映射

  1. 建立新的本機使用者。

  2. 將此新用戶設為收集器上的本機系統管理員。

  3. 使用存在於電腦「受信任的根憑證授權機構」或「中繼憑證授權機構」中的憑證來建立憑證對應。

    注意

    這是根或中繼憑證頒發機構 (CA) 的憑證,它們簽發了安裝在事件來源電腦上的憑證(該 CA 位於憑證鏈中緊接在這些憑證上方的位置):

    winrm 創建 winrm/config/service/certmapping?簽發者=<發行 CA 憑證的指紋>+Subject=*+URI=* '@{UserName="<username>";Password="<密碼>"}' -remote:localhost

  4. 從用戶端,使用下列命令來測試接聽程式和憑證對應:

    winrm g winrm/config -r:https://<事件收集器 FQDN>:5986 -a:certificate -certificate:"<用戶端驗證憑證的指紋>"

    這應該會傳回事件收集器的 WinRM 組態。 如果未顯示設定,請勿 超過這一步驟。

    此步驟會發生什麼事?

    • 用戶端會連線到事件收集器,並傳送指定的憑證。
    • 事件收集器會尋找發行 CA 並檢查是否存在相符的憑證對應。
    • 事件收集器會驗證客戶端憑證鏈結和撤銷狀態。
    • 如果這些步驟成功,驗證就會完成。

注意

您可能會收到因驗證方法而導致的拒絕存取錯誤,這可能會引起誤導。 若要進行疑難解答,請檢查事件收集器上的 CAPI 記錄。

  1. 請使用命令列出已配置的 certmapping 項目:winrm 列出 winrm/config/service/certmapping

注意

在步驟 1 中建立的本地用戶絕不會用來冒充在使用憑證驗證連接的 EventLog 轉送情境中的使用者,之後可將其刪除。 如果您打算在不同的案例中使用憑證驗證,例如遠端 Powershell,請勿刪除本機使用者。

事件來源計算機組態

  1. 使用系統管理員帳戶登入並開啟本地組原則編輯器 (gpedit.msc)

  2. 流覽至本機計算機原則\計算機設定\系統管理範本\Windows 元件\事件轉送。

  3. 開啟「設定目標訂閱管理員的伺服器位址、刷新間隔和頒發者證書機構」原則。

  4. 啟用政策並點擊 SubscriptionManagers 的“顯示...”按鈕。

  5. 在 [SubscriptionManagers] 視窗中,輸入下列字元串:

    事件收集器伺服器的 FQDN 為 Server=HTTPS://<事件收集器伺服器的 FQDN>:5986/wsman/SubscriptionManager/WEC,Refresh=<重新整理間隔,以秒為單位>,IssuerCA=<發行機構 CA 憑證的指紋>

  6. 執行下列命令行以重新整理本地組原則設定:Gpupdate /force

  7. 這些步驟應該會在來源計算機事件查看器應用程式和服務記錄檔\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational 記錄檔中產生事件 104,並顯示下列訊息:

    「轉寄站已成功連線至位址 <FQDN>的訂用帳戶管理員,後面接著事件 100,並顯示訊息:「已成功建立訂用帳戶 <sub_name>。」

  8. 在事件收集器上,訂閱運作狀態現在會顯示 1 部活躍的電腦。

  9. 開啟事件收集器上的 ForwardedEvents 記錄檔,並檢查您是否已從來源電腦轉送事件。

在事件來源上授與用戶端憑證的私人金鑰使用權限

  1. 在事件來源電腦上開 [本機] 憑證管理主控台。
  2. 以滑鼠右鍵按下客戶端憑證,然後按兩下 [管理私鑰]。
  3. 將讀取許可權授與 NETWORK SERVICE 使用者。

事件訂閱設定

  1. 在事件收集器中開啟事件查看器,然後流覽至 [訂閱] 節點。
  2. 以滑鼠右鍵按兩下 [訂用帳戶],然後選擇 [建立訂用帳戶...]
  3. 為新的訂用帳戶提供名稱和選擇性描述。
  4. 選取 [來源計算機起始] 選項,然後按兩下 [選取計算機群組...]。
  5. 在 [計算機群組] 中,按兩下 [新增非網域計算機...] 並輸入事件來源主機名。
  6. 按兩下 [新增憑證...] 並新增發行客戶端憑證的憑證頒發機構的證書。 您可以按下 [檢視憑證] 來驗證憑證。
  7. 在 [證書頒發機構單位] 中,按兩下 [確定] 以新增憑證。
  8. 完成新增電腦時,點擊 [確定]。
  9. 回到訂閱屬性,點擊 [選取事件...
  10. 藉由指定事件層級、事件記錄檔或事件來源、事件標識元(s)和任何其他篩選選項,來設定事件查詢篩選。
  11. 回到訂閱屬性頁面,點擊【進階設定】
  12. 選擇其中一個優化選項,將事件從來源事件傳遞至事件收集器,或保留預設的 [一般]:
    1. 將頻寬使用最小化:事件的傳遞頻率將降低以節省頻寬。
    2. 最小化延遲:事件會在發生時立即傳遞,以減少事件延遲。
  13. 將 [通訊協定] 變更為 [HTTPS],然後按兩下 [確定]。
  14. 按兩下 [確定] 以建立新的訂用帳戶。
  15. 以滑鼠右鍵按下並選擇 [運行時間狀態] 來檢查訂用帳戶的運行時間狀態