私たちの環境でWindowsイベント転送(WEF)をセットアップしようとしていますが、いくつかの問題が発生しています。イベントをローカルコレクションサーバーに転送できるようにGPOセットアップ(下記を参照)しており、接続サーバーが構成されています。コレクタマシンは正しくサブスクライブされているように表示されますが、他のマシンテストしているものは、コレクションサーバーに接続しません。
ログを転送できないソースマシンで、Application and Services Logs-> Microsoft-> Windows-> Eventlog ForwardingPlugin
The forwarder is having a problem communicating with subscription manager at address
http://Collector.corp.company.com:5985/wsman/SubscriptionManager/WEC.
Error code is 5 and Error Message is
<f:WSManFault xmlns:f="http://schemas.Microsoft.com/wbem/wsman/1/wsmanfault" Code="5"
Machine="SourceMachine.corp.company.com"><f:Message>Access is denied. </f:Message></f:WSManFault>.
コレクターマシンのアプリケーションとサービスのログ-> Microsoft-> Windows-> Windowsリモート管理->運用
The authorization of the user failed with error 5
コレクターサーバーエラーの詳細:
Source: Windows Remote Managment
Event ID: 192
Level: Information Task Category: User Authorization
User: Network Service Keywords: Security,Server
OpCode: Informational Computer: Collector.corp.company.com
たくさんの読書と研究の後、私はうまくいった何かを見つけたようです。具体的には、使用されていたチャネルアクセストークンに問題がありました。このトークンの値は次のとおりです。
O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x1;;;BO)(A;;0x1;;;SO)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
この値は、コンピュータの構成->管理用テンプレート-> Windowsコンポーネント->イベントログサービス->セキュリティ。私たちの場合、上記のレジストリ設定で同じ値を使用しました。
そのための鍵は、(A;;0x1;;;S-1-5-20)
ではなく(A;;0x1;;;NS)
を末尾に追加することです。
これが私がこれを機能させるために見つけた/使用したいくつかの役立つリンクです:
それが私たちの苦痛だったので、うまくいけば、これは他の人々を助けるでしょう。