keskittää Windows lokit

voit käyttää tämän artikkelin työkaluja keskittää Windowsin tapahtumalokit useilta palvelimilta ja pöytätietokoneilta. Oikein hallinnoimalla lokit, voit seurata kunnon järjestelmien, pitää lokitiedostot turvassa, ja suodattaa sisällön löytää tiettyjä tietoja.

Miksi Keskittää Lokit?

lokitietojen Keskittäminen säästää aikaa ja lisää lokitietojen luotettavuutta. Kun Windowsin lokitiedostot tallennetaan paikallisesti kullakin palvelimella, sinun täytyy erikseen kirjautua jokaiseen käydä ne läpi ja etsiä virheitä tai varoituksia. Jos palvelin ei reagoi, sinulla ei ehkä ole onnea. Jos et ole varma, mitkä palvelimet vaikuttavat, sinun täytyy metsästää jokaisen läpi, mikä voi kestää pitkään suurissa verkoissa. Lokitiedostot ovat myös turvallisempia keskitetyssä paikassa, koska vaikka instanssit lopetetaan tai tiedostot poistetaan (tahallisesti tai tahattomasti), lokien keskitetyt varmuuskopiot eivät vaikuta.

Windowsin Tapahtumatilaus

Windows-palvelimen on mahdollista välittää tapahtumansa keräilijäpalvelimelle. Tässä skenaariossa keräyspalvelimesta tulee verkon muiden palvelimien (tapahtumalähteiden) Windows-lokien keskusvarasto. Tapahtumien virtaa lähteestä keräilijään kutsutaan tilaukseksi.

tämä menettely osoittaa, miten se otetaan käyttöön. Nämä vaiheet toimivat Windows Server 2008 R2: ssa, Windows Server 2012: ssa ja Windows Server 2019: ssä.

esimerkki järjestelmä

käytämme kahta Active Directory-toimialueen yhdistettyä Windows Server 2012-järjestelmää. Verkkotunnus on mytestdomain.com ja molemmat koneet on rekisteröity verkkotunnuksen.

Lähdepalvelin MYTESTSQL isännöi SQL Server 2014-instanssia. Collector server MYTESTSERVER toimii tapahtumalokin tilaajana ja keskittää kaikki SQL Serveriin liittyvät lokit MYTESTSQL: stä.

Setup

Enable the Windows Remote Management Service

Windows Remote Management (WinRM) on protokolla, jolla vaihdetaan tietoja infrastruktuurin eri järjestelmissä. Sinun on otettava se käyttöön jokaisessa lähdetietokoneessasi, jotta voit vaihtaa lokitiedostoja.

1. Kirjaudu etänä lähdetietokoneeseen (MYTESTSQL) paikalliseksi tai verkkotunnuksen ylläpitäjäksi.
2. Ota Windowsin Etähallintapalvelu käyttöön Komentokehotteelta:

   winrm quickconfig

   jos se on jo käynnissä, näytetään tämän esimerkin kaltainen viesti.

Määritä Windows Event Collector-palvelu

sinun on otettava käyttöön Windows Event Collector-palvelu collector-palvelimessasi, jotta se voi vastaanottaa lokit lähteistäsi.

1. Kirjaudu etänä keräintietokoneeseen (MYTESTSERVER) paikallisena tai toimialueen ylläpitäjänä.
2. Määritä Windows Event Collector-palvelu komentokehotteesta:

   wecutil qcin

   jos esimerkkitapausta pyydetään, paina y

Määritä Tapahtumalokien Lukijaryhmä

oletusarvoisesti tietyt lokit on rajoitettu järjestelmänvalvojiin. Tämä voi aiheuttaa ongelmia vastaanottaessaan lokit muista järjestelmistä. Tämän välttämiseksi voit myöntää pääsyn keräilytietokoneeseen lisäämällä sen Tapahtumalokien Lukijaryhmään.

1. palaa lähdetietokoneeseen (MYTESTSQL).
2. Avaa Palvelinten Hallinta.
3. Avoin Tietokoneen Hallinta.
4. Laajenna paikallisten käyttäjien ja ryhmien solmu navigointiruudusta ja valitse ryhmät.
5. kaksoisnapsauta tapahtumalokin lukijoita.
6. napsauta lisää avataksesi Valitse käyttäjät, tietokoneet, Palvelutilit tai ryhmät-ikkunan.
7. Valitse Objektityypit.
8. Tarkista tietokoneet ja napsauta OK.
   
9. Kirjoita MYTESTSERVER objektin nimeksi ja valitse Tarkista nimet. Jos tietokonetili löytyy, se vahvistetaan alleviivauksella.
10. sulje valintaikkunat napsauttamalla OK kahdesti.
    

Määritä Windowsin palomuuri

jos lähdetietokoneessa on käytössä Windowsin palomuuri, varmista, että se mahdollistaa tapahtumalokin etähallinnan ja Etätapahtumamonitoriliikenteen.

Luo tilaus

tilaukset määrittelevät keräilijän ja lähteen välisen suhteen. Voit määrittää, että collector vastaanottaa tapahtumia mistä tahansa lähteestä (lähteen käynnistämä tilaus) tai määrittää rajoitetun joukon lähteitä (keräilijän käynnistämä tilaus). Tässä esimerkissä luomme keräilijän käynnistämän tilauksen, koska tiedämme, mitkä tietokoneen lokit haluamme vastaanottaa.

1. Käynnistä Tapahtumienvalvontasovellus keräilijäpalvelin MYTESTSERVERILLÄ.
2. valitse tilaukset navigointiruudusta
3. valitse Luo tilaus Toiminnot-ruudusta.
   
4. kirjoita tilauksen ominaisuuksiin seuraavat tiedot kuten esimerkissä:
   tilauksen nimi: MYTESTSQL_EVENTS
   Description: Events from remote source server MYTESTSQL
   Destination log: Välitetyt tapahtumat
   valitse Collector initiated ja avaa Tietokoneet-ikkuna valitsemalla Valitse Tietokoneet.
   
5. Valitse Lisää Toimialueen Tietokoneet.
6. syötä MYTESTSQL objektin nimeksi ja napsauta Tarkista nimet. Jos tietokone löytyy, se vahvistetaan alleviivauksella.
7. klikkaa OK.
   
8. napsauta OK palataksesi tilauksen ominaisuuksiin.
9. Napsauta select Events avataksesi Kyselysuodattimen ja kirjoittaaksesi seuraavan kohdan asettaaksesi etäpalvelimen välittämään kaikki sovellustapahtumat viimeiseltä 24 tunnilta:
   Kirjautunut: Viimeiset 24 tuntia
   Tarkista kaikki Tapahtumatasot
   valitse lokin mukaan
   tapahtumalokit: Valitse sovellus pudotusvalikosta
   
10. napsauta OK palataksesi tilauksen ominaisuuksiin.
11. napsauta Lisäasetukset avataksesi Lisäasetukset ja kirjoita seuraava:
    valitse Konetili
    valitse minimoi latenssi
    protokolla: HTTP
    portti: 5985
    
12. napsauta OK palataksesi tilauksen ominaisuuksiin.
13. Sulje napsauttamalla OK.

collector computer event Viewerin Tilaussolmussa näkyy nyt uusi tilaus.

tarkista tapahtumat Keräilytietokoneessa

valitse välitetyt tapahtumat keräilytietokoneen navigointipaneelista.

tietoruudun tietokonesarake osoittaa tapahtumien olevan etätietokoneelta MYTESTSQL.MYTESTDOMAIN.COM. voit ottaa collector-tilauksen käyttöön tai poistaa sen käytöstä napsauttamalla tilausta hiiren kakkospainikkeella ja valitsemalla Poista käytöstä. Tilauksen tila näkyy sitten pääikkunassa käytöstä poistettuna. Aktiivinen keräilijätilaus ei tarkoita sen onnistumista. Jos haluat nähdä, voiko keräilijä muodostaa yhteyden lähteeseen, napsauta tilauksen hiiren kakkospainikkeella ja valitse Runtime Status. Tässä esimerkissä kerääjä ei voi muodostaa yhteyttä lähteeseen. Oletusarvoisesti se toistuu viiden minuutin välein.

jos kaikki on kunnossa, tilauksen Runtime-tila näyttää vihreän rastin, jossa on aktiivinen tila.

Luo mukautettu näkymä (valinnainen)

kun tapahtumat on toimitettu eteenpäin, voit luoda mukautettuja näkymiä nähdäksesi konsolidoidut tapahtumat. Voit esimerkiksi luoda mukautetun näkymän virhetapahtumille. Tämä esimerkki luo mukautetun näkymän SQL Server-viesteille. Keräilytietokone voi tallentaa tuhansia tietueita kymmeniltä palvelimilta. Mukautetun näkymän avulla voit luoda tilauksen ylikuormitetusta informaatiosta. Yksityiskohtaiset vaiheet, katso osio luoda mukautetun näkymän Windowsin kirjaamisen perusteet.

Windowsin Kirjauspalvelut

on olemassa useita Windows-palveluita, joiden avulla voit keskittää kaikki kirjaustietosi ulkoiseen kirjauspalveluun. Nämä palvelut lähettävät lokit syslogin kautta monialustaiseen lokipalvelimeen tai pilvipohjaiseen kirjauspalveluun, kuten SolarWinds® Loggly®.

suosittelemme nxlogia, suosittua, vapaasti ladattavaa palvelua, joka toimii taustalla. Vuorotellen, on syslog-ng ja Snare, jotka ovat palveluja, jotka keräävät lokitiedostoja. Kaikki nämä palvelut tarjoavat ylimääräistä ammatillista tukea maksua vastaan.

Install NXLog

tämä esimerkki asentaa ja määrittää nxlogin paketoimaan lokitiedostot.

Lataa ja asenna nxlogin nykyinen versio. Lataus sisältää intuitiivisen asennusohjelman. Kun asennus on valmis, avaa asetustiedosto. Oletuksena NXLog-asetustiedosto sijaitsee osoitteessa C:/Program tiedostot (x86)/nxlog/conf / nxlog.conf

voit luoda erityyppisiä konfiguraatiomoduuleja.

• input for the source of your logs
• Outputs for where to send the locs
• Routes to map your inputs to your outputs

whether you makes changes to the NXlog configuration file, you must restart the nxlog service.

Configure NXLog

tämä esimerkki muuttaa Nxlog-asetustiedostoa keskittääkseen Windowsin tapahtumalokit. Lisätään alla oleva koodinpätkä nxlogin loppuun.conf-tiedosto ottaa moduulin käyttöön ja antaa sille nimen ”eventlog”. Im_msvistalog input module lähettää uusia merkintöjä Windowsin tapahtumalokiin, mukaan lukien järjestelmä, laitteisto, sovellus ja tietoturvaan liittyvät tapahtumat.

# Windows Event Log<Input eventlog># Uncomment im_msvistalog for Windows Vista/2008 and laterModule im_msvistalog# Uncomment im_mseventlog for Windows XP/2000/2003# Module im_mseventlog# If you prefer to send events as JSON dataExec $Message = to_json();</Input>

Tiedostolokeja

nxlogia voidaan käyttää levylle tallennettujen lokitiedostojen lukemiseen. Tässä esimerkissä tiedoston nimi on FILE1. SavePos TRUE tarkoittaa, että nxlog seuraa nykyistä sijaintiaan lokitiedostossa poistuttaessa. Exec $Message = $raw_event tarkoittaa, että NXLog nielaisee raa ’ an lokiviestin ilman lisämuotoilua. Tiedostonimi voi sisältää myös hakemistoja tai villejä kortteja.

<Input FILE1>Module im_fileFile "FILE1"SavePos TRUEExec $Message = $raw_event;</Input>

IIS-lokit

kuten Windowsin kirjaamisen perusteet-osiossa kerrottiin, IIS-lokit sisältävät W3C-muodossa tallennettuja käyttöoikeuslokeja. Suosittelemme, että muunnat ne JSON-muotoon, jotta voit käsitellä niitä helposti lokinhallintatyökalulla. NXLog voi tehdä tämän muuntamisen käyttämällä W3C-laajennusta. Varmista, että käytät oikeaa muotoa asetustiedostossa, jotta jäsennys tapahtuu oikein, ja olet sisällyttänyt lokitiedostoja kaikilta sivustoiltasi.

<Extension w3c>Module xm_csvFields $date, $time, $s-ip, $cs-method, $cs-uri-stem, $cs-uri-query, $s-port, $cs-username, $c-ip, $csUser-Agent, $cs-Referer, $sc-status, $sc-substatus, $sc-win32-status, $time-takenFieldTypes string, string, string, string, string, string, integer, string, string, string, string, integer, integer, integer, integerDelimiter ' 'QuoteChar '"'EscapeControl FALSEUndefValue -</Extension># Convert the IIS logs to JSON and use the original event time<Input IIS_Site1>Module im_fileFile "C:/inetpub/logs/LogFiles/W3SVC1/u_ex*"SavePos TRUEExec if $raw_event =~ /^#/ drop();else{w3c->parse_csv();$SourceName = "IIS";$Message = to_json();}</Input>

SQL Serverin virhelokit

SQL Server on Microsoftin enterprise-luokan lippulaiva tietokanta-alusta. Se tulee sarja tietokanta ja tietovaraston työkaluja. SQL Server-palvelimella on tyypillisesti omat lokit, jotka on tallennettu sovelluksen asennushakemistoon Windows-tiedostojärjestelmässä. SQL Server 2012: n oletussijainti on C:/Program tiedostot / Microsoft SQL Server/MSSQL11.Mssqlserver/MSSQL/Log. Lokimerkinnät lähetetään myös Windows-sovelluksen tapahtumalokiin.

SQL Server-toiminnot, kuten varmuuskopiointi ja palautus, kyselyjen aikakatkaisut tai hidas I/Os, on siksi helppo löytää Windows-sovelluksen tapahtumalokista, kun taas tietoturvaan liittyvät viestit, kuten epäonnistuneet kirjautumisyritykset, tallennetaan Windowsin tietoturvan tapahtumalokiin.

lokien välittäminen palvelimelle

NXLog voi siirtää lokit mistä tahansa edellä kuvatusta tulosta ulkoiseen kohteeseen, kuten lokipalvelimeen tai pilvipohjaiseen lokinhallintapalveluun. Tätä varten NXLog käyttää käsitteitä nimeltä Lähdöt ja reitit. Lähdöt ovat moduuleja, jotka tarjoavat toimintoja lokien lähettämiseen kohteeseen, kuten tiedostoon tai etäpalvelimeen. Reitit ovat polkuja, jotka lokiviesti vie syötteestä (kuten im_msvistalog-moduulista) tulosteeseen (kuten lokinhallintapalveluun).

jos haluat lähettää lokit eteenpäin, lisää tulostusmoduuli nxlogiisi.conf-asetustiedosto. Lisää sitten reitti moduuli lähettää lokit valitsemasi tulot valitsemasi lähdöt. Tässä esimerkissä, lähetämme lokit syslog yli TCP isäntänimi yli oletuksena syslog portti 514. Luomme reitin, joka vie lokit eventlog inputista ja lähettää sen uudelle tulosteelle (nimetty pois):

<Output out>Module om_tcpHost HOSTNAMEPort 514</Output><Route 1>Path eventlog => out</Route>

useat lokinhallintaratkaisut tarjoavat erityisiä asennusohjeita Windowsin kirjaamista varten. Loggly on esimerkki yhdestä palveluntarjoajasta, ja sillä on tarkempia tietoja nxlogin perustamisesta lokitiedostojen keräämiseksi oppaassaan kirjautumalla Windowsista.

salaamalla lokit, joiden TLS

oletuksena Internetin kautta lähetetyt lokit lähetetään selkeänä tekstinä. Tämä tarkoittaa, että snoopers voi siepata ja tarkastella lokitietojasi. On parasta salata lokitietosi, kun se on matkalla, varsinkin jos se sisältää arkaluonteisia tietoja, kuten henkilötunnuksia, hallituksen säätelemiä tietoja tai taloudellisia tietoja. Yleisin protokolla syslog-viestinnän salaamiseen on TLS eli Transport Layer Security.

TLS salaa lokisi estäen ketään urkkimasta lokisi arkaluontoisia tietoja. Paras käytäntö ei ole kirjata tietoja kuten salasanoja, mutta jotkut sovellukset tekevät sen kuitenkin. TLS-salaus auttaa pitämään nämä tiedot turvallisempina. Salaus estää lokilähteiden ja kohteiden välissä olevia haitallisia tahoja lukemasta tai muokkaamasta lokitietojasi.

tässä on esimerkki NXLog-konfiguraation määrittämisestä Logglyn TLS-salauksella.

1. Lataa Logglyn digitaalinen varmenne NXLog TLS-asetussivulta.
2. Kopioi digitaalinen varmennetiedosto NXLog cert-hakemistoon:
   kopioi loggly_full.crt C:/Program tiedostot*/nxlog / cert
3. Määritä tulostusmoduuli om_ssl: n ja varmenteen sijainnin avulla. Salattujen lokien oletusportti syslog on 6514. AllowUntrusted FALSE estää yhteyden palvelimeen, jos varmenne on epäluotettava tai itse allekirjoitettu:

   <Output out>Module om_sslHost server.example.comPort 6514CAFile %CERTDIR%/example.crtAllowUntrusted FALSE<Output>