Centralizace Protokoly systému Windows

můžete použít nástroje v tomto článku centralizovat vaše Windows event logy z více serverů a desktopů. Správnou správou protokolů můžete sledovat stav svých systémů, udržovat soubory protokolu v bezpečí a filtrovat obsah, abyste našli konkrétní informace.

Proč Centralizovat Protokoly?

centralizace protokolů šetří čas a zvyšuje spolehlivost vašich dat protokolu. Když jsou soubory protokolu Windows uloženy lokálně na každém serveru, musíte se individuálně přihlásit ke každému z nich, abyste je mohli projít a hledat případné chyby nebo varování. Pokud server nereaguje, můžete mít smůlu. Pokud si nejste jisti, které servery jsou ovlivněny, musíte lovit každý z nich, což může ve velkých sítích trvat dlouho. Soubory protokolu jsou také bezpečnější v centralizovaném umístění, protože i když jsou vaše instance ukončeny nebo jsou soubory odstraněny (úmyslně nebo neúmyslně), centralizované záložní kopie vašich protokolů nejsou ovlivněny.

předplatné událostí systému Windows

je možné, aby Server Windows předal své události serveru kolektoru. V tomto scénáři se kolektorový server stává centrálním úložištěm pro protokoly systému Windows z jiných serverů (nazývaných zdroje událostí) v síti. Proud událostí ze zdroje do kolektoru se nazývá předplatné.

tento postup ukazuje, jak jej nastavit. Tyto kroky fungují na systémech Windows Server 2008 R2, Windows Server 2012 a Windows Server 2019.

příklad systému

používáme dva systémy Windows Server 2012 připojené k doméně služby Active Directory. Název domény je mytestdomain.com a oba stroje jsou registrovány v doméně.

zdrojový server MYTESTSQL hostí instanci SQL Server 2014. Collector server MYTESTSERVER funguje jako účastník protokolu událostí pro centralizaci všech protokolů souvisejících s SQL Serverem z MYTESTSQL.

Nastavení

Povolit Službu Vzdálená Správa systému Windows

Vzdálená Správa systému Windows (WinRM) je protokol pro výměnu informací mezi systémy ve vaší infrastruktury. Musíte jej povolit na každém ze zdrojových počítačů pro výměnu souborů protokolu.

1. vzdáleně se přihlaste do zdrojového počítače (MYTESTSQL) jako místní správce nebo správce domény.
2. povolte službu vzdálené správy systému Windows z příkazového řádku:

   winrm quickconfig

   pokud je již spuštěna, zobrazí se zpráva podobná tomuto příkladu.

Konfigurovat Windows Event Collector Service

musíte povolit Windows Event Collector Service na své sběratel server, aby mohla přijímat záznamy z vašich zdrojů.

1. vzdáleně se přihlaste do kolektorového počítače (MYTESTSERVER) jako místní správce nebo správce domény.
2. Konfigurovat Windows Event Collector Service z Příkazového Řádku:

   Pokud se zobrazí výzva, jako příklad, stiskněte klávesu y

Konfigurace Protokolu Událostí Čtenáři Skupiny

ve výchozím nastavení, některé protokoly jsou omezeny na správce. To může způsobit problémy při přijímání protokolů z jiných systémů. Chcete-li tomu zabránit, můžete udělit přístup k počítači kolektoru přidáním do skupiny čteček protokolů událostí.

1. vraťte se do zdrojového počítače (MYTESTSQL).
2. Otevřít Správce Serveru.
3. Otevřete Správu Počítače.
4. rozbalte uzel Místní uživatelé a skupiny z navigačního podokna a vyberte Skupiny.
5. Poklepejte na Čtečky protokolů událostí.
6. klepnutím na tlačítko Přidat otevřete dialog Vybrat uživatele, počítače, účty služeb nebo skupiny.
7. Klikněte Na Typy Objektů.
8. zkontrolujte počítače a klikněte na OK.
   
9. zadejte MYTESTSERVER jako název objektu a klikněte na Zkontrolovat jména. Pokud je nalezen účet počítače, je potvrzen podtržením.
10. dvakrát klikněte na OK pro zavření dialogových oken.
    

Nakonfigurovat bránu Firewall systému Windows

Pokud zdrojový počítač se systémem Windows Firewall, ujistěte se, že umožňuje Vzdálenou Správu Protokolu Událostí a Událostí Vzdáleného Sledování provozu.

Vytvořte předplatné

předplatné definuje vztah mezi kolektorem a zdrojem. Můžete nakonfigurovat sběratel přijímat události z libovolného počtu zdrojů (zdroj-zahájeno předplatné), nebo zadat omezený počet zdrojů (sběratel-zahájeno předplatné). V tomto příkladu vytvoříme předplatné iniciované kolektorem, protože víme, které počítačové protokoly chceme přijímat.

1. Spusťte aplikaci Prohlížeč událostí na kolektorovém serveru MYTESTSERVER.
2. vyberte předplatné z navigačního podokna
3. v podokně Akce klikněte na vytvořit předplatné.
   
4. Na Předplatné Vlastnosti, zadejte následující jak je uvedeno v příkladu:
   Předplatné jméno: MYTESTSQL_EVENTS
   Popis: Události ze vzdáleného zdroje serveru MYTESTSQL
   Určení log: Přeposlané události
   vyberte možnost kolektor zahájeno a klepnutím na tlačítko Vybrat počítače otevřete dialogové okno počítače.
   
5. Klikněte Na Přidat Počítače Domény.
6. zadejte MYTESTSQL jako název objektu a klikněte na Zkontrolovat jména. Pokud je počítač nalezen, je potvrzen podtržením.
7. klikněte na OK.
   
8. klepnutím na tlačítko OK se vrátíte k vlastnostem předplatného.
9. klepnutím na tlačítko Vybrat události otevřete filtr dotazu a zadejte následující nastavení pro nastavení vzdáleného serveru pro předávání všech událostí aplikace za posledních 24 hodin:
   přihlášen: Posledních 24 hodin
   Zkontrolujte, zda všechny Události úrovně
   Vyberte Pomocí protokolu
   protokoly Událostí: Vyberte Aplikaci ze seznamu drop-down
   
10. Klepnutím na OK se vrátíte do Vlastnosti Odběru.
11. Klepněte na tlačítko Upřesnit otevřete Pokročilé Předplatné Nastavení a zadejte následující:
    Vyberte Účet počítače
    Vyberte možnost Minimalizovat Latence
    Protokol: HTTP
    Port: 5985
    
12. Klepnutím na OK se vrátíte do Vlastnosti Odběru.
13. klepnutím na tlačítko OK zavřete.

uzel předplatného v Prohlížeči událostí počítače collector nyní zobrazuje nové předplatné.

ověřte události v počítači kolektoru

v navigačním podokně v počítači kolektoru vyberte možnost přeposlané události.

Počítač sloupec v podokně Podrobností označuje události ze vzdáleného počítače MYTESTSQL.MYTESTDOMAIN.COM. Můžete povolit nebo zakázat kolektoru předplatné kliknutím pravým tlačítkem myši na odběr a volbu Zakázat. Stav předplatného se pak v hlavním okně zobrazí jako zakázaný. Aktivní předplatné sběratelů neznamená, že uspěje. Chcete-li zjistit, zda se kolektor může připojit ke zdroji, klepněte pravým tlačítkem myši na předplatné a vyberte stav běhu. V tomto příkladu se kolektor nemůže připojit ke zdroji. Ve výchozím nastavení se opakuje každých pět minut.

pokud je vše v pořádku, stav běhu předplatného zobrazuje zelené zaškrtnutí s aktivním stavem.

vytvořte vlastní zobrazení (Volitelné)

jakmile jsou události předány, můžete vytvořit vlastní zobrazení pro zobrazení konsolidovaných událostí. Můžete například vytvořit vlastní zobrazení pro chybové události. Tento příklad vytvoří vlastní zobrazení zpráv souvisejících s SQL Serverem. Kolektorový počítač může hostit tisíce záznamů z desítek serverů. Použití vlastního zobrazení umožňuje vytvořit objednávku z přetížení informací. Podrobné kroky naleznete v části Vytvoření vlastního zobrazení v základech protokolování systému Windows.

Windows Protokolování Služby

Existuje několik služeb systému Windows můžete použít k centralizovat všechny své ukládání dat do externí protokolování služby. Tyto služby odesílají protokoly přes syslog na multiplatformní logovací server nebo službu protokolování založenou na cloudu, jako je SolarWinds® Loggly®.

doporučujeme NXLog, populární, volně stahovatelnou službu, která běží na pozadí. Alternativně existují syslog-ng a Snare, což jsou služby, které shromažďují soubory protokolu. Všechny tyto služby poskytují další odbornou podporu za poplatek.

nainstalujte NXLog

tento příklad nainstaluje a nakonfiguruje NXlog pro zabalení souborů protokolu.

stáhněte a nainstalujte aktuální verzi NXlog. Stahování obsahuje intuitivní instalační program. Po dokončení instalace otevřete konfigurační soubor. Ve výchozím nastavení je konfigurační soubor NXLog umístěn na C:/Program soubory (x86)/nxlog/conf/nxlog.conf

můžete vytvářet různé typy konfiguračních modulů.

• Vstupy pro zdroj protokoly
• Výstupy pro kam poslat protokoly
• Trasy na mapě své vstupy, aby své výstupy

pokaždé, když provedete změny NXlog konfiguračního souboru musíte restartovat NXlog služby.

nakonfigurujte NXLog

tento příklad upravuje konfigurační soubor NXLog tak, aby centralizoval protokoly událostí systému Windows. Přidání úryvku kódu níže na konec vašeho nxlogu.soubor conf povolí modul a dá mu název „eventlog“. Vstupní modul im_msvistalog odesílá nové položky do protokolu událostí systému Windows, včetně událostí souvisejících se systémem, hardwarem, aplikací a zabezpečením.

# Windows Event Log<Input eventlog># Uncomment im_msvistalog for Windows Vista/2008 and laterModule im_msvistalog# Uncomment im_mseventlog for Windows XP/2000/2003# Module im_mseventlog# If you prefer to send events as JSON dataExec $Message = to_json();</Input>

protokoly souborů

NXLog lze použít ke čtení souborů protokolů uložených na jednotce. V tomto příkladu je název souboru SOUBOR1. SavePos TRUE znamená, že NXLog bude sledovat své aktuální umístění v souboru protokolu při ukončení. Exec $Message = $raw_event znamená, že NXLog přijme zprávu surového protokolu bez použití dalšího formátování. Název souboru může také obsahovat adresáře nebo divoké karty.

<Input FILE1>Module im_fileFile "FILE1"SavePos TRUEExec $Message = $raw_event;</Input>

protokoly IIS

jak jsme se zabývali v sekci Základy protokolování systému Windows, protokoly IIS obsahují protokoly přístupu uložené ve formátu W3C. Doporučujeme je převést do formátu JSON pro snadné zpracování pomocí nástroje pro správu protokolu. NXLog může tuto konverzi provést pomocí rozšíření W3C. Ujistěte se, že v konfiguračním souboru používáte správný formát, takže analýza probíhá správně a zahrnujete soubory protokolu ze všech svých webů.

<Extension w3c>Module xm_csvFields $date, $time, $s-ip, $cs-method, $cs-uri-stem, $cs-uri-query, $s-port, $cs-username, $c-ip, $csUser-Agent, $cs-Referer, $sc-status, $sc-substatus, $sc-win32-status, $time-takenFieldTypes string, string, string, string, string, string, integer, string, string, string, string, integer, integer, integer, integerDelimiter ' 'QuoteChar '"'EscapeControl FALSEUndefValue -</Extension># Convert the IIS logs to JSON and use the original event time<Input IIS_Site1>Module im_fileFile "C:/inetpub/logs/LogFiles/W3SVC1/u_ex*"SavePos TRUEExec if $raw_event =~ /^#/ drop();else{w3c->parse_csv();$SourceName = "IIS";$Message = to_json();}</Input>

protokoly chyb serveru SQL

SQL Server je vlajková loď společnosti Microsoft. Dodává se v sadě databázových a datových skladových nástrojů. SQL Server má obvykle své vlastní protokoly uložené v instalačním adresáři aplikace v systému souborů Windows. Výchozí umístění pro SQL Server 2012 je C:/Program soubory / Microsoft SQL Server / MSSQL11.Mssqlserver/MSSQL / log. Záznamy protokolu jsou také odeslány do protokolu událostí aplikace Windows.

SQL Server operace, jako je zálohování a obnovení, časové limity dotazu, nebo pomalu I/Os jsou proto snadné najít od Windows protokolu událostí aplikace, zatímco bezpečnostní-související zprávy, jako neúspěšné pokusy o přihlášení jsou zachyceny v systému Windows protokolu událostí zabezpečení.

přeposílání protokolů na Server

NXLog může předávat protokoly z kteréhokoli ze vstupů popsaných výše do externího cíle, jako je server protokolu nebo služba správy protokolů založená na cloudu. K tomu používá nxlog koncepty nazývané výstupy a trasy. Výstupy jsou moduly, které poskytují funkce pro odesílání protokolů do cíle, jako je soubor nebo vzdálený server. Trasy jsou cesty, které zpráva protokolu vede ze vstupu (například modul im_msvistalog) k výstupu (například služba správy protokolu).

Chcete-li přeposílat protokoly, přidejte do svého nxlogu výstupní modul.konfigurační soubor conf. Poté přidejte modul trasy pro odesílání protokolů z vybraných vstupů na vybrané výstupy. V tomto příkladu posíláme protokoly jako syslog přes TCP na název hostitele přes výchozí port syslog 514. Vytvoříme trasu, která vezme protokoly ze vstupu eventlog a odešle je na nový výstup (pojmenovaný out):

<Output out>Module om_tcpHost HOSTNAMEPort 514</Output><Route 1>Path eventlog => out</Route>

několik řešení pro správu protokolu nabízí specifické pokyny pro nastavení pro protokolování systému Windows. Loggly je příkladem jednoho poskytovatele a má podrobnější informace o nastavení NXLog shromažďovat soubory protokolu v jejich průvodci, protokolování z Windows.

šifrování protokolů pomocí TLS

ve výchozím nastavení jsou protokoly odeslané přes Internet přenášeny v čistém textu. To znamená, že čmuchalové mohou zachytit a zobrazit data protokolu. Osvědčeným postupem je šifrování dat protokolu, Když jsou na cestě, zejména pokud obsahují citlivé informace, jako jsou osobní identifikační údaje, vládou regulovaná data nebo finanční informace. Nejběžnějším protokolem pro šifrování komunikace syslog je TLS nebo Transport Layer Security.

TLS šifruje vaše záznamy, zabraňuje někdo z snooping na citlivá data v protokolech. Osvědčeným postupem není zaznamenávat informace, jako jsou hesla, ale některé aplikace to stejně dělají. Šifrování TLS pomáhá udržovat tato data bezpečnější. Šifrování zabraňuje škodlivým stranám umístěným mezi zdroji protokolu a cíli číst nebo upravovat data protokolu.

zde je příklad nastavení konfigurace NXLog s šifrováním TLS pro Loggly.

1. Stáhněte si digitální certifikát Loggly z konfigurační stránky NXLOG TLS.
2. Zkopírujte soubor digitálního certifikátu do adresáře NXLog cert:
   zkopírujte loggly_full.crt C:/Program soubory * / nxlog / cert
3. nakonfigurujte výstupní modul pomocí om_ssl a umístění certifikátu. Výchozí port syslog pro šifrované protokoly je 6514. AllowUntrusted FALSE zabraňuje připojení k serveru, pokud je certifikát nedůvěryhodný nebo podepsaný:

   <Output out>Module om_sslHost server.example.comPort 6514CAFile %CERTDIR%/example.crtAllowUntrusted FALSE<Output>