web-dev-qa-db-ja.com

Windowsイベントログの転送

私は現在、Windows Server2008がソース開始イベント転送を介してWindows XPおよびWindows7クライアントの中央ログインスタンスとして構成されているセットアップのプロトタイプを作成しています。すべてのコンピューターは同じドメインにあります。

このDevCenterの記事 に従ってすべてを構成しましたが、ログ構成用に提供されたxmlに問題があるため、新しいabonnement(ソースが開始)を作成し、「ドメインコンピューター」グループに入れて追加しました。それにすべてのイベント。結果のXMLは次のようになります。

<QueryList>
  <Query Id="0" Path="Application">
    <Select Path="Application">*</Select>
    <Select Path="Security">*</Select>
    <Select Path="Setup">*</Select>
    <Select Path="System">*</Select>
  </Query>
</QueryList>

ご覧のとおり、すべてのイベントロガーからのすべてのイベントをログに記録したいと思います。ただし、ログサーバーのログを評価する場合、セキュリティログストリームからのすべてのイベントが中央のログインスタンスに転送されるわけではありません(たとえば、別のユーザーとしてプログラムを実行しようとしたときに、間違ったパスワードを入力した場合)。システムやアプリケーションなどの他のログストリームは完全に機能します。記事の一部である検証を問題なく実行しました。これまでのところ、Windows XPにはデフォルトでイベント転送がインストールされていないため、Windows7クライアントをテストしました。

私が間違っていることのヒントはありますか?

6
Lars

Windows Vista、7および2008の場合:

ソースコンピューター上のWindows-Eventcollectorサービス(wecsvc)は、ソース開始サブスクリプションを使用している場合にイベントをコレクターコンピューターに転送し、「ネットワークサービス」アカウントとして実行されます。ただし、Network-Serviceアカウントはセキュリティイベントログにアクセスできません。ローカルグループ「イベントログリーダー」は、すべてのログにアクセスできます。つまり、各ソースコンピューターで、ローカルの「イベントログリーダー」グループに「ネットワークサービス」アカウントを追加して、Windows-Eventcollectorサービスがセキュリティイベントログにアクセスし、コレクターコンピューターに転送できるようにする必要があります。 (s)。

SDDL(Security Descriptor Definition Language)を使用すると、wevtutilを使用してさまざまなイベントログのアクセス許可を再定義することもできますが、これはより複雑です。つまり、これを注意深く読んでいないと、何かを簡単に壊したり、望ましくない影響を引き起こしたりする可能性があります。何かをする前にSDDLを作成します。

2
lsmooth

このガイドに従ったばかりで、あなたと同じように、ドメイン管理者に収集するイベントログの委任されたアカウントを追加するまで、どこにも行きませんでした。そして、私たちはもはや廃墟ではありません。

次のステップは、これを行うためのより安全な方法を見つけることです!

2
Your Mum

QueryブロックのPath属性がそれをフィルタリングしている可能性があります。それがなくても動作するはずです:

<QueryList>
  <Query Id="0">
    <Select Path="Application">*</Select>
    <Select Path="Security">*</Select>
    <Select Path="Setup">*</Select>
    <Select Path="System">*</Select>
  </Query>
</QueryList>
2
b0ti

おそらく、セキュリティイベントログのアクセス許可の問題です。

コレクターコンピューターアカウントをソースコンピューターの1つのAdministratorsグループに追加して、問題が解決するかどうかを確認してください。

Windows2008およびWindowsVista/7には、このレベルのアクセスを簡単に提供できる新しいグループのイベントログリーダーがあることに注意してください。

2
Greg Askew

ワークステーションでセキュリティログが有効になっていますか?そうでない場合、転送するものは何もありません。

2
John Gardeniers

ローカルネットワークサービスアカウントの要点は、ローカルシステムに対して昇格された特権を持っているということです持っていません他のアプリケーションとサービスはそのアカウントの正しい構成に依存しています。サービスコンソールを見て、ログオンで並べ替えるだけです。

この目的のために特別に別のアカウントを作成し、この新しいアカウントとして実行するようにWindows LogCollectorサービスの構成を変更することをお勧めします。

1
Geoff Duke