du kan bruge værktøjerne i denne artikel til at centralisere dine vinduer hændelseslogs fra flere servere og desktops. Ved korrekt administration af dine logfiler kan du spore sundheden for dine systemer, holde dine logfiler sikre og filtrere indholdet for at finde specifikke oplysninger.
- Hvorfor Centralisere Logfiler?
- abonnement på begivenheder
- eksempel System
- opsætning
- aktiver Fjernstyringstjenesten
- Konfigurer tjenesten Event Collector
- Konfigurer Hændelsesloglæsergruppen
- Opret et abonnement
- Bekræft hændelser på Kollektorcomputeren
- Opret en brugerdefineret visning (Valgfrit)
- vinduer Logging Services
- installer loggen
- Konfigurer loggen
- Fillogfiler
- IIS Logs
- fejllogs
- videresendelse af logfiler til en Server
- kryptering af logfiler med TLS
Hvorfor Centralisere Logfiler?
centralisering af dine logfiler sparer tid og øger pålideligheden af dine logdata. Når vinduer logfiler gemmes lokalt på hver server, skal du individuelt logge ind på hver enkelt for at gå igennem dem og se efter eventuelle fejl eller advarsler. Hvis serveren ikke reagerer, kan du være ude af lykke. Hvis du ikke er sikker på, hvilke servere der er berørt, skal du jage gennem hver enkelt, hvilket kan tage lang tid på store netværk. Logfilerne er også sikrere på en centraliseret placering, fordi selv når dine forekomster afsluttes, eller dine filer slettes (forsætligt eller utilsigtet), påvirkes de centraliserede sikkerhedskopier af dine logfiler ikke.
abonnement på begivenheder
det er muligt for en server at videresende sine begivenheder til en samlerserver. I dette scenarie bliver collector-serveren et centralt lager for logfiler fra andre servere (kaldet hændelseskilder) i netværket. Strømmen af begivenheder fra en kilde til en samler kaldes et abonnement.
denne procedure viser, hvordan du konfigurerer den. Disse trin fungerer på Server 2008 R2, Server 2012 og Server 2019.
eksempel System
vi bruger to Active Directory domæne–sluttede vinduer Server 2012 systemer. Domænenavnet er mytestdomain.com og begge maskiner er registreret med domænet.
Kildeserver MYTEST er vært for en INSTANSINSTANS for Server 2014. Collector server MYTESTSERVER fungerer som en event log abonnent til at centralisere alle
opsætning
aktiver Fjernstyringstjenesten
fjernstyring er en protokol til udveksling af oplysninger på tværs af systemer i din infrastruktur. Du skal aktivere det på hver af dine kildecomputere for at udveksle logfiler.
- Fjern log ind på kildecomputeren som lokal eller domæneadministrator.
- aktiver Fjernstyringstjeneste fra en kommandoprompt:
winrm quickconfig
hvis den allerede kører, vises en meddelelse, der ligner dette eksempel.
Konfigurer tjenesten Event Collector
du skal aktivere tjenesten Event Collector på din collector server for at lade den modtage logfiler fra dine kilder.
- Fjern log ind på kollektorcomputeren (MYTESTSERVER) som lokal eller domæneadministrator.
- Konfigurer tjenesten Event Collector fra en kommandoprompt:
wecutil qcin
hvis du bliver bedt om det som eksemplet, skal du trykke på y
Konfigurer Hændelsesloglæsergruppen
som standard er visse logfiler begrænset til administratorer. Dette kan forårsage problemer, når du modtager logfiler fra andre systemer. For at undgå dette kan du give adgang til collector-computeren ved at føje den til gruppen Hændelsesloglæsere.
- gå tilbage til kildecomputeren.
- Åbn Server Manager.
- Åben Computerstyring.
- Udvid noden Lokale brugere og grupper fra navigationsruden, og vælg grupper.
- Dobbeltklik på Hændelsesloglæsere.
- Klik på Tilføj for at åbne dialogboksen Vælg brugere, computere, servicekonti eller grupper.
- Klik På Objekttyper.
- Tjek computere og klik på OK.
- indtast MYTESTSERVER som objektnavn, og klik på Kontroller navne. Hvis computerkontoen findes, bekræftes den med en understregning.
- Klik på OK to gange for at lukke dialogboksen.
hvis kildecomputeren kører, skal du sikre dig, at den tillader styring af hændelsesloggen og trafik til overvågning af Fjernhændelser.
Opret et abonnement
abonnementer Definer forholdet mellem en samler og en kilde. Du kan konfigurere en samler til at modtage begivenheder fra et vilkårligt antal kilder (et kildeinitieret abonnement) eller angive et begrænset sæt kilder (et samlerinitieret abonnement). I dette eksempel opretter vi et samlerinitieret abonnement, da vi ved, hvilke computerlogfiler vi ønsker at modtage.
- Start Begivenhedsviserapplikationen på collector server MYTESTSERVER.
- Vælg abonnementer i navigationsruden
- Klik på Opret abonnement i ruden handlinger.
- på Abonnementsegenskaberne skal du indtaste følgende som vist i eksemplet:
Abonnementsnavn: MYTESTSK_EVENTS
beskrivelse: begivenheder fra FJERNKILDESERVER MYTESTSKL
Destinationslog: Videresendte begivenheder
Vælg Collector initiated, og klik på Vælg computere for at åbne dialogboksen computere.
- Klik På Tilføj Domænecomputere.
- indtast MYTEST som objektnavn, og klik på Kontroller navne. Hvis computeren findes, bekræftes den med en understregning.
- Klik på OK.
- Klik på OK for at vende tilbage til Abonnementsegenskaberne.
- Klik på Vælg begivenheder for at åbne Forespørgselsfilteret, og indtast følgende for at indstille fjernserveren til at videresende alle applikationshændelser fra de sidste 24 timer:
logget: Sidste 24 timer
Kontroller alle Begivenhedsniveauer
Vælg ved log
hændelseslogfiler: Vælg program fra rullelisten
- Klik på OK for at vende tilbage til Abonnementsegenskaberne.
- Klik på Avanceret for at åbne indstillingerne for Avanceret abonnement og indtaste følgende:
Vælg Maskinkonto
Vælg Minimer latenstid
protokol: HTTP
Port: 5985
- Klik på OK for at vende tilbage til Abonnementsegenskaberne.
- Klik på OK for at lukke.
Abonnementsnoden i Collector computer-begivenhedsviseren viser nu det nye abonnement.
Bekræft hændelser på Kollektorcomputeren
Vælg videresendte hændelser i navigationsruden på kollektorcomputeren.
kolonnen Computer i detaljeruden angiver, at begivenhederne er fra fjerncomputeren MYTESTSQL.MYTESTDOMAIN.COM. du kan aktivere eller deaktivere collector-abonnementet ved at højreklikke på abonnementet og vælge Deaktiver. Status for abonnementet vises derefter som deaktiveret i hovedvinduet. Et aktivt samlerabonnement betyder ikke, at det lykkes. For at se, om samleren kan oprette forbindelse til kilden, skal du højreklikke på abonnementet og vælge Runtime Status. I dette eksempel kan samleren ikke oprette forbindelse til kilden. Som standard forsøger den igen hvert femte minut.
hvis alt er OK, abonnement Runtime Status viser et grønt kryds med en aktiv status.
Opret en brugerdefineret visning (Valgfrit)
når begivenhederne er videresendt, kan du oprette brugerdefinerede visninger for at se de konsoliderede begivenheder. Du kan f.eks. oprette en brugerdefineret visning til fejlhændelser. Dette eksempel opretter en brugerdefineret visning for Serverrelaterede meddelelser. En samlercomputer kan være vært for tusinder af poster fra snesevis af servere. Ved hjælp af en brugerdefineret visning kan du oprette ordre fra en overbelastning af oplysninger. For detaljerede trin, se afsnittet Oprettelse af en brugerdefineret visning i vinduer Logging Basics.
vinduer Logging Services
der er flere vinduer tjenester, du kan bruge til at centralisere alle dine logging data til en ekstern logging service. Disse tjenester sender logfiler over syslog til en log-server på tværs af platforme eller skybaseret logningstjeneste som Solvinder, som Loggly.
vi anbefaler
installer loggen
dette eksempel installerer og konfigurerer loggen til at pakke dine logfiler.
Hent og installer den aktuelle version af
du kan oprette forskellige typer konfigurationsmoduler.
- indgange til kilden til dine logfiler
- udgange til, hvor logfilerne skal sendes
- ruter til at kortlægge dine indgange til dine udgange
når du foretager ændringer i konfigurationsfilen, skal du genstarte tjenesten.
Konfigurer loggen
dette eksempel ændrer konfigurationsfilen for at centralisere dine hændelseslogfiler. Tilføjelse af kodestykket nedenfor til slutningen af din nslog.conf fil aktiverer modulet og giver det navnet “eventlog”. Im_msvistalog-inputmodulet sender nye poster til hændelsesloggen, herunder system -, udstyrs -, applikations-og sikkerhedsrelaterede begivenheder.
# Windows Event Log<Input eventlog># Uncomment im_msvistalog for Windows Vista/2008 and laterModule im_msvistalog# Uncomment im_mseventlog for Windows XP/2000/2003# Module im_mseventlog# If you prefer to send events as JSON dataExec $Message = to_json();</Input>
Fillogfiler
Nlog kan bruges til at læse logfiler, der er gemt på et drev. I dette eksempel er filnavnet FILE1. SavePos TRUE betyder, at
<Input FILE1>Module im_fileFile "FILE1"SavePos TRUEExec $Message = $raw_event;</Input>
IIS Logs
som vi dækkede i vinduet Logging Basics sektion, indeholder IIS logs adgangslogs gemt i 3C format. Vi anbefaler, at du konverterer dem til JSON-format for nem behandling af et logstyringsværktøj. Denne konvertering kan udføres ved hjælp af 3C-udvidelsen. Sørg for at bruge det korrekte format i konfigurationsfilen, så analysen sker korrekt, og du inkluderer logfiler fra alle dine sider.
<Extension w3c>Module xm_csvFields $date, $time, $s-ip, $cs-method, $cs-uri-stem, $cs-uri-query, $s-port, $cs-username, $c-ip, $csUser-Agent, $cs-Referer, $sc-status, $sc-substatus, $sc-win32-status, $time-takenFieldTypes string, string, string, string, string, string, integer, string, string, string, string, integer, integer, integer, integerDelimiter ' 'QuoteChar '"'EscapeControl FALSEUndefValue -</Extension># Convert the IIS logs to JSON and use the original event time<Input IIS_Site1>Module im_fileFile "C:/inetpub/logs/LogFiles/W3SVC1/u_ex*"SavePos TRUEExec if $raw_event =~ /^#/ drop();else{w3c->parse_csv();$SourceName = "IIS";$Message = to_json();}</Input>
fejllogs
er Microsofts flagskibsdatabaseplatform i enterprise-klassen. Det kommer i en suite af database og data lager værktøjer. Server har typisk sine egne logfiler gemt i programmets installationsmappe i filsystemet. Standardplaceringen for Server 2012 er C:/Program filer / Microsoft – Server / MSSKL11.Msskr/Msskr/Log. Logposterne sendes også til hændelsesloggen.
SERVEROPERATIONER som backup og gendannelse, forespørgsel timeouts eller langsom i/Os er derfor nemme at finde fra Ventanas applikationshændelseslog, mens sikkerhedsrelaterede meddelelser som mislykkede loginforsøg er fanget i Ventanas sikkerhedshændelseslog.
videresendelse af logfiler til en Server
hvis du vil videresende logfiler, skal du tilføje et outputmodul i din log.conf konfigurationsfil. Tilføj derefter et Rutemodul for at sende logfiler fra dine valgte input til dine valgte output. I dette eksempel sender vi logfiler som syslog over TCP til værtsnavnet over standard syslog port 514. Vi opretter en rute, der tager logfiler fra eventlog-input og sender den til den nye output (navngivet ud):
<Output out>Module om_tcpHost HOSTNAMEPort 514</Output><Route 1>Path eventlog => out</Route>
flere logstyringsløsninger tilbyder specifikke installationsinstruktioner til Vindueslogning. Loggly er et eksempel på en udbyder og har mere detaljerede oplysninger om opsætning af log til at samle dine logfiler i deres guide, logge fra vinduer.
kryptering af logfiler med TLS
som standard sendes logfiler, der sendes over Internettet, I klar tekst. Det betyder, at snoopers kan opfange og se dine logdata. Det er bedste praksis at kryptere dine logdata, når de er i transit, især hvis de indeholder følsomme oplysninger som personlige identifikationsoplysninger, regeringsregulerede data eller økonomiske oplysninger. Den mest almindelige protokol til kryptering af syslog-kommunikation er TLS eller Transport Layer Security.
TLS krypterer dine logfiler og forhindrer nogen i at snuse på følsomme data i dine logfiler. Bedste praksis er ikke at logge oplysninger som adgangskoder, men nogle applikationer gør det alligevel. TLS-kryptering hjælper med at holde disse data sikrere. Kryptering forhindrer ondsindede parter placeret mellem dine logkilder og destinationer i at læse eller ændre dine logdata.
her er et eksempel på Opsætning af TLS-kryptering til Loggly.
- Hent Logglys digitale certifikat fra konfigurationssiden.
- Kopier den digitale certifikatfil til din mappe:
kopier loggly_full.crt C:/Program - Konfigurer dit outputmodul med om_ssl og certifikatets placering. Standard syslog-porten til krypterede logfiler er 6514. Tillad ikke falsk forhindrer en forbindelse til serveren, hvis certifikatet ikke er tillid til eller selvsigneret:
<Output out>Module om_sslHost server.example.comPort 6514CAFile %CERTDIR%/example.crtAllowUntrusted FALSE<Output>