centralisering af vinduer Logs

du kan bruge værktøjerne i denne artikel til at centralisere dine vinduer hændelseslogs fra flere servere og desktops. Ved korrekt administration af dine logfiler kan du spore sundheden for dine systemer, holde dine logfiler sikre og filtrere indholdet for at finde specifikke oplysninger.

Hvorfor Centralisere Logfiler?

centralisering af dine logfiler sparer tid og øger pålideligheden af dine logdata. Når vinduer logfiler gemmes lokalt på hver server, skal du individuelt logge ind på hver enkelt for at gå igennem dem og se efter eventuelle fejl eller advarsler. Hvis serveren ikke reagerer, kan du være ude af lykke. Hvis du ikke er sikker på, hvilke servere der er berørt, skal du jage gennem hver enkelt, hvilket kan tage lang tid på store netværk. Logfilerne er også sikrere på en centraliseret placering, fordi selv når dine forekomster afsluttes, eller dine filer slettes (forsætligt eller utilsigtet), påvirkes de centraliserede sikkerhedskopier af dine logfiler ikke.

abonnement på begivenheder

det er muligt for en server at videresende sine begivenheder til en samlerserver. I dette scenarie bliver collector-serveren et centralt lager for logfiler fra andre servere (kaldet hændelseskilder) i netværket. Strømmen af begivenheder fra en kilde til en samler kaldes et abonnement.

denne procedure viser, hvordan du konfigurerer den. Disse trin fungerer på Server 2008 R2, Server 2012 og Server 2019.

eksempel System

vi bruger to Active Directory domæne–sluttede vinduer Server 2012 systemer. Domænenavnet er mytestdomain.com og begge maskiner er registreret med domænet.

Kildeserver MYTEST er vært for en INSTANSINSTANS for Server 2014. Collector server MYTESTSERVER fungerer som en event log abonnent til at centralisere alle Server-relaterede logfiler fra MYTESTSERVER.

opsætning

aktiver Fjernstyringstjenesten

fjernstyring er en protokol til udveksling af oplysninger på tværs af systemer i din infrastruktur. Du skal aktivere det på hver af dine kildecomputere for at udveksle logfiler.

  1. Fjern log ind på kildecomputeren som lokal eller domæneadministrator.
  2. aktiver Fjernstyringstjeneste fra en kommandoprompt:
    winrm quickconfig

    hvis den allerede kører, vises en meddelelse, der ligner dette eksempel.

Konfigurer tjenesten Event Collector

du skal aktivere tjenesten Event Collector på din collector server for at lade den modtage logfiler fra dine kilder.

  1. Fjern log ind på kollektorcomputeren (MYTESTSERVER) som lokal eller domæneadministrator.
  2. Konfigurer tjenesten Event Collector fra en kommandoprompt:
    wecutil qcin

    hvis du bliver bedt om det som eksemplet, skal du trykke på y

Konfigurer Hændelsesloglæsergruppen

som standard er visse logfiler begrænset til administratorer. Dette kan forårsage problemer, når du modtager logfiler fra andre systemer. For at undgå dette kan du give adgang til collector-computeren ved at føje den til gruppen Hændelsesloglæsere.

  1. gå tilbage til kildecomputeren.
  2. Åbn Server Manager.
  3. Åben Computerstyring.
  4. Udvid noden Lokale brugere og grupper fra navigationsruden, og vælg grupper.
  5. Dobbeltklik på Hændelsesloglæsere.
  6. Klik på Tilføj for at åbne dialogboksen Vælg brugere, computere, servicekonti eller grupper.
  7. Klik På Objekttyper.
  8. Tjek computere og klik på OK.
  9. indtast MYTESTSERVER som objektnavn, og klik på Kontroller navne. Hvis computerkontoen findes, bekræftes den med en understregning.
  10. Klik på OK to gange for at lukke dialogboksen.

hvis kildecomputeren kører, skal du sikre dig, at den tillader styring af hændelsesloggen og trafik til overvågning af Fjernhændelser.

Opret et abonnement

abonnementer Definer forholdet mellem en samler og en kilde. Du kan konfigurere en samler til at modtage begivenheder fra et vilkårligt antal kilder (et kildeinitieret abonnement) eller angive et begrænset sæt kilder (et samlerinitieret abonnement). I dette eksempel opretter vi et samlerinitieret abonnement, da vi ved, hvilke computerlogfiler vi ønsker at modtage.

  1. Start Begivenhedsviserapplikationen på collector server MYTESTSERVER.
  2. Vælg abonnementer i navigationsruden
  3. Klik på Opret abonnement i ruden handlinger.
  4. på Abonnementsegenskaberne skal du indtaste følgende som vist i eksemplet:
    Abonnementsnavn: MYTESTSK_EVENTS
    beskrivelse: begivenheder fra FJERNKILDESERVER MYTESTSKL
    Destinationslog: Videresendte begivenheder
    Vælg Collector initiated, og klik på Vælg computere for at åbne dialogboksen computere.
  5. Klik På Tilføj Domænecomputere.
  6. indtast MYTEST som objektnavn, og klik på Kontroller navne. Hvis computeren findes, bekræftes den med en understregning.
  7. Klik på OK.
  8. Klik på OK for at vende tilbage til Abonnementsegenskaberne.
  9. Klik på Vælg begivenheder for at åbne Forespørgselsfilteret, og indtast følgende for at indstille fjernserveren til at videresende alle applikationshændelser fra de sidste 24 timer:
    logget: Sidste 24 timer
    Kontroller alle Begivenhedsniveauer
    Vælg ved log
    hændelseslogfiler: Vælg program fra rullelisten
  10. Klik på OK for at vende tilbage til Abonnementsegenskaberne.
  11. Klik på Avanceret for at åbne indstillingerne for Avanceret abonnement og indtaste følgende:
    Vælg Maskinkonto
    Vælg Minimer latenstid
    protokol: HTTP
    Port: 5985
  12. Klik på OK for at vende tilbage til Abonnementsegenskaberne.
  13. Klik på OK for at lukke.

Abonnementsnoden i Collector computer-begivenhedsviseren viser nu det nye abonnement.

Bekræft hændelser på Kollektorcomputeren

Vælg videresendte hændelser i navigationsruden på kollektorcomputeren.

kolonnen Computer i detaljeruden angiver, at begivenhederne er fra fjerncomputeren MYTESTSQL.MYTESTDOMAIN.COM. du kan aktivere eller deaktivere collector-abonnementet ved at højreklikke på abonnementet og vælge Deaktiver. Status for abonnementet vises derefter som deaktiveret i hovedvinduet. Et aktivt samlerabonnement betyder ikke, at det lykkes. For at se, om samleren kan oprette forbindelse til kilden, skal du højreklikke på abonnementet og vælge Runtime Status. I dette eksempel kan samleren ikke oprette forbindelse til kilden. Som standard forsøger den igen hvert femte minut.

hvis alt er OK, abonnement Runtime Status viser et grønt kryds med en aktiv status.

Opret en brugerdefineret visning (Valgfrit)

når begivenhederne er videresendt, kan du oprette brugerdefinerede visninger for at se de konsoliderede begivenheder. Du kan f.eks. oprette en brugerdefineret visning til fejlhændelser. Dette eksempel opretter en brugerdefineret visning for Serverrelaterede meddelelser. En samlercomputer kan være vært for tusinder af poster fra snesevis af servere. Ved hjælp af en brugerdefineret visning kan du oprette ordre fra en overbelastning af oplysninger. For detaljerede trin, se afsnittet Oprettelse af en brugerdefineret visning i vinduer Logging Basics.

vinduer Logging Services

der er flere vinduer tjenester, du kan bruge til at centralisere alle dine logging data til en ekstern logging service. Disse tjenester sender logfiler over syslog til en log-server på tværs af platforme eller skybaseret logningstjeneste som Solvinder, som Loggly.

vi anbefaler , en populær, frit hentbar tjeneste, der kører i baggrunden. Alternativt er der syslog-ng og Snare, som er tjenester, der indsamler dine logfiler. Alle disse tjenester giver yderligere professionel support mod et gebyr.

installer loggen

dette eksempel installerer og konfigurerer loggen til at pakke dine logfiler.

Hent og installer den aktuelle version af . Overførslen indeholder en intuitiv installatør. Når installationen er afsluttet, skal du åbne konfigurationsfilen. Som standard er konfigurationsfilen Nslog placeret på C:/Program filer (86)/nslog / conf / nslog.conf

du kan oprette forskellige typer konfigurationsmoduler.

  • indgange til kilden til dine logfiler
  • udgange til, hvor logfilerne skal sendes
  • ruter til at kortlægge dine indgange til dine udgange

når du foretager ændringer i konfigurationsfilen, skal du genstarte tjenesten.

Konfigurer loggen

dette eksempel ændrer konfigurationsfilen for at centralisere dine hændelseslogfiler. Tilføjelse af kodestykket nedenfor til slutningen af din nslog.conf fil aktiverer modulet og giver det navnet “eventlog”. Im_msvistalog-inputmodulet sender nye poster til hændelsesloggen, herunder system -, udstyrs -, applikations-og sikkerhedsrelaterede begivenheder.

# Windows Event Log<Input eventlog># Uncomment im_msvistalog for Windows Vista/2008 and laterModule im_msvistalog# Uncomment im_mseventlog for Windows XP/2000/2003# Module im_mseventlog# If you prefer to send events as JSON dataExec $Message = to_json();</Input>

Fillogfiler

Nlog kan bruges til at læse logfiler, der er gemt på et drev. I dette eksempel er filnavnet FILE1. SavePos TRUE betyder, at vil spore sin aktuelle placering i logfilen ved afslutning. $ Message = $ ra_event betyder, at Nslog vil indtage den rå logmeddelelse uden at anvende yderligere formatering. Filnavnet kan også indeholde mapper eller vilde kort.

<Input FILE1>Module im_fileFile "FILE1"SavePos TRUEExec $Message = $raw_event;</Input>

IIS Logs

som vi dækkede i vinduet Logging Basics sektion, indeholder IIS logs adgangslogs gemt i 3C format. Vi anbefaler, at du konverterer dem til JSON-format for nem behandling af et logstyringsværktøj. Denne konvertering kan udføres ved hjælp af 3C-udvidelsen. Sørg for at bruge det korrekte format i konfigurationsfilen, så analysen sker korrekt, og du inkluderer logfiler fra alle dine sider.

<Extension w3c>Module xm_csvFields $date, $time, $s-ip, $cs-method, $cs-uri-stem, $cs-uri-query, $s-port, $cs-username, $c-ip, $csUser-Agent, $cs-Referer, $sc-status, $sc-substatus, $sc-win32-status, $time-takenFieldTypes string, string, string, string, string, string, integer, string, string, string, string, integer, integer, integer, integerDelimiter ' 'QuoteChar '"'EscapeControl FALSEUndefValue -</Extension># Convert the IIS logs to JSON and use the original event time<Input IIS_Site1>Module im_fileFile "C:/inetpub/logs/LogFiles/W3SVC1/u_ex*"SavePos TRUEExec if $raw_event =~ /^#/ drop();else{w3c->parse_csv();$SourceName = "IIS";$Message = to_json();}</Input>

fejllogs

er Microsofts flagskibsdatabaseplatform i enterprise-klassen. Det kommer i en suite af database og data lager værktøjer. Server har typisk sine egne logfiler gemt i programmets installationsmappe i filsystemet. Standardplaceringen for Server 2012 er C:/Program filer / Microsoft – Server / MSSKL11.Msskr/Msskr/Log. Logposterne sendes også til hændelsesloggen.

SERVEROPERATIONER som backup og gendannelse, forespørgsel timeouts eller langsom i/Os er derfor nemme at finde fra Ventanas applikationshændelseslog, mens sikkerhedsrelaterede meddelelser som mislykkede loginforsøg er fanget i Ventanas sikkerhedshændelseslog.

videresendelse af logfiler til en Server

kan videresende logfiler fra en hvilken som helst af de ovenfor beskrevne indgange til en ekstern destination, f.eks. en logserver eller en cloud-baseret logadministrationstjeneste. For at gøre dette bruger vi koncepter kaldet output og ruter. Udgange er moduler, der giver funktionalitet til at sende logfiler til en destination, f.eks. Ruter er de stier, som en logmeddelelse tager fra et input (såsom im_msvistalog-modulet) til et output (såsom en logstyringstjeneste).

hvis du vil videresende logfiler, skal du tilføje et outputmodul i din log.conf konfigurationsfil. Tilføj derefter et Rutemodul for at sende logfiler fra dine valgte input til dine valgte output. I dette eksempel sender vi logfiler som syslog over TCP til værtsnavnet over standard syslog port 514. Vi opretter en rute, der tager logfiler fra eventlog-input og sender den til den nye output (navngivet ud):

<Output out>Module om_tcpHost HOSTNAMEPort 514</Output><Route 1>Path eventlog => out</Route>

flere logstyringsløsninger tilbyder specifikke installationsinstruktioner til Vindueslogning. Loggly er et eksempel på en udbyder og har mere detaljerede oplysninger om opsætning af log til at samle dine logfiler i deres guide, logge fra vinduer.

kryptering af logfiler med TLS

som standard sendes logfiler, der sendes over Internettet, I klar tekst. Det betyder, at snoopers kan opfange og se dine logdata. Det er bedste praksis at kryptere dine logdata, når de er i transit, især hvis de indeholder følsomme oplysninger som personlige identifikationsoplysninger, regeringsregulerede data eller økonomiske oplysninger. Den mest almindelige protokol til kryptering af syslog-kommunikation er TLS eller Transport Layer Security.

TLS krypterer dine logfiler og forhindrer nogen i at snuse på følsomme data i dine logfiler. Bedste praksis er ikke at logge oplysninger som adgangskoder, men nogle applikationer gør det alligevel. TLS-kryptering hjælper med at holde disse data sikrere. Kryptering forhindrer ondsindede parter placeret mellem dine logkilder og destinationer i at læse eller ændre dine logdata.

her er et eksempel på Opsætning af TLS-kryptering til Loggly.

  1. Hent Logglys digitale certifikat fra konfigurationssiden.
  2. Kopier den digitale certifikatfil til din mappe:
    kopier loggly_full.crt C:/Program
  3. Konfigurer dit outputmodul med om_ssl og certifikatets placering. Standard syslog-porten til krypterede logfiler er 6514. Tillad ikke falsk forhindrer en forbindelse til serveren, hvis certifikatet ikke er tillid til eller selvsigneret:
    <Output out>Module om_sslHost server.example.comPort 6514CAFile %CERTDIR%/example.crtAllowUntrusted FALSE<Output>



+