a cikkben ismertetett eszközökkel több kiszolgálóról és asztali számítógépről is központosíthatja a Windows eseménynaplóit. A naplók megfelelő adminisztrációjával nyomon követheti a rendszerek állapotát, biztonságban tarthatja a naplófájlokat, és szűrheti a tartalmat, hogy konkrét információkat találjon.
- Miért Kell Központosítani A Naplókat?
- Windows Event Subscription
- példa rendszer
- Beállítás
- A Windows Remote Management Service engedélyezése
- A Windows Eseménygyűjtő szolgáltatás konfigurálása
- az Eseménynaplóolvasók csoport beállítása
- Windows tűzfal konfigurálása
- előfizetés létrehozása
- események ellenőrzése gyűjtő számítógépen
- egyéni nézet létrehozása (opcionális)
- Windows naplózási szolgáltatások
- Install NXLog
- Nxlog konfigurálása
- Fájlnaplók
- IIS-naplók
- SQL Server Hibanaplók
- naplók továbbítása szerverre
- naplók titkosítása TLS-sel
Miért Kell Központosítani A Naplókat?
a naplók központosítása időt takarít meg, és növeli a naplóadatok megbízhatóságát. Ha a Windows naplófájlokat helyileg tárolja az egyes kiszolgálókon, egyenként be kell jelentkeznie mindegyikbe, hogy átnézze őket, és keresse meg a hibákat vagy figyelmeztetéseket. Ha a szerver nem reagál, lehet, hogy nincs szerencséje. Ha nem biztos abban, hogy mely szervereket érinti, akkor mindegyiket át kell vadásznia, ami nagy hálózatokon hosszú időt vehet igénybe. A naplófájlok biztonságosabbak egy központi helyen is, mert még akkor is, ha a példányok megszűnnek, vagy a fájlok törlődnek (szándékosan vagy akaratlanul), a naplók központi biztonsági másolatai nem változnak.
Windows Event Subscription
lehetséges, hogy a Windows server továbbítsa eseményeit egy gyűjtő szerverre. Ebben az esetben a gyűjtőkiszolgáló a hálózat más kiszolgálóiról (úgynevezett eseményforrásokból) származó Windows naplók központi tárolójává válik. Az események folyamát a forrástól a gyűjtőig előfizetésnek nevezzük.
ez az eljárás bemutatja, hogyan kell beállítani. Ezek a lépések Windows Server 2008 R2, Windows Server 2012 és Windows Server 2019 rendszeren működnek.
példa rendszer
két Active Directory tartományhoz csatlakozó Windows Server 2012 rendszert használunk. A domain név mytestdomain.com mindkét gép regisztrálva van a domainben.
forráskiszolgáló a Mytestsql egy SQL Server 2014 példányt tárol. Collector server MYTESTSERVER működik, mint egy eseménynapló előfizető központosítani az összes SQL Server kapcsolatos naplók MYTESTSQL.
Beállítás
A Windows Remote Management Service engedélyezése
A Windows Remote Management (WinRM) egy protokoll az infrastruktúra rendszerei közötti információcserére. A naplófájlok cseréjéhez engedélyeznie kell az egyes forrásszámítógépeken.
- távolról jelentkezzen be a forrásszámítógépbe (MYTESTSQL) helyi vagy tartományi rendszergazdaként.
- engedélyezze a Windows távfelügyeleti szolgáltatását parancssorból:
winrm quickconfig
ha már fut, a példához hasonló üzenet jelenik meg.
A Windows Eseménygyűjtő szolgáltatás konfigurálása
engedélyeznie kell a Windows Eseménygyűjtő szolgáltatást a gyűjtőkiszolgálón, hogy lehetővé tegye a forrásokból származó naplók fogadását.
- távolról jelentkezzen be a gyűjtő számítógépbe (MYTESTSERVER) helyi vagy tartományi rendszergazdaként.
- konfigurálja a Windows Eseménygyűjtő szolgáltatást parancssorból:
wecutil qcin
ha a példához hasonlóan kéri, nyomja meg az y gombot
az Eseménynaplóolvasók csoport beállítása
alapértelmezés szerint bizonyos naplók csak a rendszergazdákra korlátozódnak. Ez problémákat okozhat, ha naplókat fogad más rendszerekből. Ennek elkerülése érdekében hozzáférést biztosíthat a gyűjtő számítógéphez az Eseménynapló-olvasók csoporthoz való hozzáadásával.
- menj vissza a forrásszámítógéphez (MYTESTSQL).
- Nyissa Meg A Kiszolgálókezelőt.
- Nyissa Meg A Számítógépkezelést.
- bontsa ki a helyi felhasználók és csoportok csomópontot a navigációs ablaktáblán, és válassza a csoportok lehetőséget.
- kattintson duplán az Eseménynapló-olvasókra.
- kattintson a Hozzáadás gombra a Felhasználók, számítógépek, szolgáltatási fiókok vagy csoportok kiválasztása párbeszédpanel megnyitásához.
- Kattintson Az Objektumtípusokra.
- ellenőrizze a számítógépeket, majd kattintson az OK gombra.
- írja be a MYTESTSERVER elemet objektumnévként, majd kattintson a Nevek ellenőrzése elemre. Ha a számítógépes fiók megtalálható, azt aláhúzással erősítik meg.
- kattintson kétszer az OK gombra a párbeszédpanelek bezárásához.
Windows tűzfal konfigurálása
ha a forrásszámítógép Windows tűzfalat futtat, győződjön meg arról, hogy lehetővé teszi a távoli Eseménynapló-kezelést és a távoli eseményfigyelő forgalmat.
előfizetés létrehozása
az előfizetések meghatározzák a gyűjtő és a forrás közötti kapcsolatot. Beállíthatja, hogy egy gyűjtő tetszőleges számú forrásból fogadjon eseményeket (forrás által kezdeményezett előfizetés), vagy megadhat korlátozott számú forrást (gyűjtő által kezdeményezett előfizetés). Ebben a példában létrehozunk egy gyűjtő által kezdeményezett előfizetést, mivel tudjuk, hogy mely számítógépes naplókat szeretnénk megkapni.
- indítsa el az Eseménynapló alkalmazást a mytestserver gyűjtőkiszolgálón.
- válassza az Előfizetések lehetőséget a navigációs ablaktáblán
- kattintson az előfizetés létrehozása elemre a Műveletek ablaktáblában.
- az előfizetési tulajdonságokon írja be a következőket a példában látható módon:
előfizetés neve: MYTESTSQL_EVENTS
leírás: események távoli forráskiszolgálóról MYTESTSQL
Célnapló: Továbbított események
válassza a Collector iniciated elemet, majd kattintson a Select Computers (számítógépek kiválasztása) gombra a Computers (számítógépek) párbeszédpanel megnyitásához.
- Kattintson A Tartományi Számítógépek Hozzáadása Elemre.
- írja be a MYTESTSQL-t objektumnévként, majd kattintson a Nevek ellenőrzése gombra. Ha a számítógép megtalálható, azt aláhúzással erősítik meg.
- kattintson az OK gombra.
- kattintson az Ok gombra az előfizetési tulajdonságokhoz való visszatéréshez.
- kattintson az események kiválasztása gombra a Lekérdezésszűrő megnyitásához, majd írja be a következőket, hogy a távoli kiszolgáló továbbítsa az elmúlt 24 óra összes alkalmazáseseményét:
bejelentkezett: Utolsó 24 óra
minden Eseményszint ellenőrzése
kiválasztás napló szerint
eseménynaplók: Alkalmazás kiválasztása a legördülő listából
- kattintson az Ok gombra az előfizetési tulajdonságokhoz való visszatéréshez.
- kattintson a Speciális gombra a speciális előfizetési beállítások megnyitásához, és írja be a következőket:
válassza ki a gépi fiókot
válassza a késleltetés minimalizálása
protokoll: HTTP
Port: 5985
- kattintson az Ok gombra az előfizetési tulajdonságokhoz való visszatéréshez.
- a bezáráshoz kattintson az OK gombra.
a gyűjtő számítógépes eseménynapló előfizetési csomópontja most megjeleníti az új előfizetést.
események ellenőrzése gyűjtő számítógépen
válassza a továbbított események lehetőséget a gyűjtő számítógép navigációs ablaktábláján.
A részletek ablaktábla számítógép oszlopa azt jelzi, hogy az események a távoli számítógépről származnak MYTESTSQL.MYTESTDOMAIN.COM. a gyűjtői előfizetés engedélyezéséhez vagy letiltásához kattintson a jobb gombbal az előfizetésre, majd válassza a Letiltás lehetőséget. Az előfizetés állapota ezután Letiltva jelenik meg a főablakban. Az aktív gyűjtői előfizetés nem jelenti azt, hogy sikeres. Ha meg szeretné tudni, hogy a gyűjtő tud-e csatlakozni a forráshoz, kattintson a jobb gombbal az előfizetésre, majd válassza a futásidejű Állapot lehetőséget. Ebben a példában a gyűjtő nem tud csatlakozni a forráshoz. Alapértelmezés szerint öt percenként próbálkozik újra.
ha minden rendben van, az előfizetési futásidejű állapot zöld pipát mutat aktív státusszal.
egyéni nézet létrehozása (opcionális)
az események továbbítása után egyéni nézeteket hozhat létre az összevont események megtekintéséhez. Létrehozhat például egy egyéni nézetet a hibaeseményekhez. Ez a példa egyéni nézetet hoz létre az SQL Server-rel kapcsolatos üzenetekhez. A gyűjtő számítógép több ezer rekordot tárolhat több tucat szerverről. Az egyéni nézet használata lehetővé teszi, hogy rendelést hozzon létre az információk túlterheléséből. A részletes lépéseket Lásd az Egyéni nézet létrehozása A Windows naplózási alapjai című részben.
Windows naplózási szolgáltatások
számos Windows-szolgáltatás segítségével központosíthatja az összes naplózási adatot egy külső naplózási szolgáltatásra. Ezek a szolgáltatások naplókat küldenek a syslog-on keresztül egy platformokon átívelő naplókiszolgálóra vagy felhőalapú naplózási szolgáltatásra, például a SolarWinds Xhamsterre.
javasoljuk az NXLog-ot, egy népszerű, ingyenesen letölthető szolgáltatást, amely a háttérben fut. Alternatív megoldásként létezik a syslog-ng és a Snare, amelyek olyan szolgáltatások, amelyek összegyűjtik a naplófájlokat. Mindezek a Szolgáltatások további szakmai támogatást nyújtanak díj ellenében.
Install NXLog
ez a példa telepíti és konfigurálja az NXlog-ot a naplófájlok csomagolására.
töltse le és telepítse az nxlog aktuális verzióját. A letöltés tartalmaz egy intuitív telepítőt. A telepítés befejezése után nyissa meg a konfigurációs fájlt. Alapértelmezés szerint az NXLog konfigurációs fájl a következő helyen található C:/Program fájlok (x86)/nxlog/conf / nxlog.conf
különböző típusú konfigurációs modulokat hozhat létre.
- bemenetek a naplók forrásához
- kimenetek a naplók küldéséhez
- útvonalak a bemenetek leképezéséhez a kimenetekhez
amikor módosítja az NXlog konfigurációs fájlt, újra kell indítania az NXlog szolgáltatást.
Nxlog konfigurálása
ez a példa módosítja az NXLog konfigurációs fájlt a Windows eseménynaplók központosításához. Az alábbi kódrészlet hozzáadása az nxlog végéhez.a conf fájl engedélyezi a modult, és “eventlog”nevet ad neki. Az im_msvistalog bemeneti modul új bejegyzéseket küld a Windows eseménynaplójába, beleértve a rendszert, a hardvert, az alkalmazást és a biztonsággal kapcsolatos eseményeket.
# Windows Event Log<Input eventlog># Uncomment im_msvistalog for Windows Vista/2008 and laterModule im_msvistalog# Uncomment im_mseventlog for Windows XP/2000/2003# Module im_mseventlog# If you prefer to send events as JSON dataExec $Message = to_json();</Input>
Fájlnaplók
az NXLog használható a meghajtón tárolt naplófájlok olvasására. Ebben a példában a fájl neve FILE1. A SavePos TRUE azt jelenti, hogy az NXLog kilépéskor nyomon követi az aktuális helyét a naplófájlban. Exec $Message = $raw_event azt jelenti, hogy az NXLog további formázás alkalmazása nélkül lenyeli a nyers naplóüzenetet. A fájlnév könyvtárakat vagy helyettesítő kártyákat is tartalmazhat.
<Input FILE1>Module im_fileFile "FILE1"SavePos TRUEExec $Message = $raw_event;</Input>
IIS-naplók
amint azt a Windows naplózási alapjai szakaszban tárgyaltuk, az IIS-naplók W3C formátumban tárolt hozzáférési naplókat tartalmaznak. Javasoljuk, hogy konvertálja őket JSON formátumba a naplókezelő eszköz általi egyszerű feldolgozás érdekében. Az NXLog ezt az átalakítást a W3C kiterjesztés segítségével végezheti el. Győződjön meg róla, hogy a megfelelő formátumot használja a konfigurációs fájlban, így az elemzés helyesen történik, és az összes webhely naplófájljait tartalmazza.
<Extension w3c>Module xm_csvFields $date, $time, $s-ip, $cs-method, $cs-uri-stem, $cs-uri-query, $s-port, $cs-username, $c-ip, $csUser-Agent, $cs-Referer, $sc-status, $sc-substatus, $sc-win32-status, $time-takenFieldTypes string, string, string, string, string, string, integer, string, string, string, string, integer, integer, integer, integerDelimiter ' 'QuoteChar '"'EscapeControl FALSEUndefValue -</Extension># Convert the IIS logs to JSON and use the original event time<Input IIS_Site1>Module im_fileFile "C:/inetpub/logs/LogFiles/W3SVC1/u_ex*"SavePos TRUEExec if $raw_event =~ /^#/ drop();else{w3c->parse_csv();$SourceName = "IIS";$Message = to_json();}</Input>
SQL Server Hibanaplók
az SQL Server a Microsoft vállalati szintű zászlóshajója adatbázis platform. Jön egy csomag adatbázis és adattárház eszközök. Az SQL Server általában saját naplókat ment az alkalmazás telepítési könyvtárába a Windows fájlrendszerben. Az SQL Server 2012 alapértelmezett helye a következő C:/Program fájlok / Microsoft SQL Server / MSSQL11.MSSQLSERVER/MSSQL / Log. A naplóbejegyzések a Windows alkalmazás eseménynaplójába is elküldésre kerülnek.
az SQL Server olyan műveleteit, mint a biztonsági mentés és visszaállítás, a lekérdezés időtúllépése vagy a lassú I/O-K, ezért könnyű megtalálni a Windows alkalmazás eseménynaplójából, míg a biztonsággal kapcsolatos üzeneteket, például a sikertelen bejelentkezési kísérleteket a Windows biztonsági eseménynapló rögzíti.
naplók továbbítása szerverre
az NXLog a naplókat a fent leírt bemenetek bármelyikéből továbbíthatja egy külső célállomásra, például naplókiszolgálóra vagy felhőalapú naplókezelő szolgáltatásra. Ehhez az NXLog a kimenetek és útvonalak nevű fogalmakat használja. A kimenetek olyan modulok, amelyek funkcionalitást biztosítanak naplók küldésére egy célállomásra, például fájlra vagy távoli kiszolgálóra. Az útvonalak azok az útvonalak, amelyeket a naplóüzenet egy bemenettől (például az im_msvistalog modultól) egy kimenetig (például egy naplókezelő szolgáltatásig) vezet.
a naplók továbbításához adjon hozzá egy kimeneti modult az nxlog-hoz.conf konfigurációs fájl. Ezután adjon hozzá egy útvonal modult, hogy naplókat küldjön a kiválasztott bemenetekről a kiválasztott kimenetekre. Ebben a példában a naplókat syslog over TCP néven küldjük a gazdagép gazdagépének az alapértelmezett 514-es syslog porton keresztül. Létrehozunk egy útvonalat, amely a naplókat az eventlog bemenetről veszi át, majd elküldi az új kimenetre (elnevezve):
<Output out>Module om_tcpHost HOSTNAMEPort 514</Output><Route 1>Path eventlog => out</Route>
számos naplókezelő megoldás kínál speciális telepítési utasításokat a Windows naplózásához. A Loggly egy szolgáltató példája, és részletesebb információkkal rendelkezik az NXLog beállításáról, hogy összegyűjtse a naplófájlokat az útmutatóban, naplózva A Windows rendszerből.
naplók titkosítása TLS-sel
alapértelmezés szerint az Interneten küldött naplók tiszta szövegben kerülnek továbbításra. Ez azt jelenti, hogy a snoopers lehallgathatja és megtekintheti a naplóadatokat. A legjobb gyakorlat a naplóadatok titkosítása szállítás közben, különösen, ha érzékeny információkat tartalmaz, például személyes azonosító adatokat, kormány által szabályozott adatokat vagy pénzügyi információkat. A syslog kommunikáció titkosításának leggyakoribb protokollja a TLS vagy a Transport Layer Security.
a TLS titkosítja a naplókat, megakadályozva, hogy bárki szaglásszon a naplók érzékeny adatairól. A legjobb gyakorlat az, hogy nem naplózza az információkat, például a jelszavakat, de egyes alkalmazások egyébként is megteszik. A TLS titkosítás segít az adatok biztonságosabbá tételében. A titkosítás megakadályozza, hogy a naplóforrások és a célállomások között található rosszindulatú felek olvassák vagy módosítsák a naplóadatokat.
íme egy példa az Nxlog konfiguráció beállítására TLS titkosítással a Loggly számára.
- töltse le a Loggly digitális tanúsítványát az NXLog TLS konfigurációs oldaláról.
- másolja a digitális tanúsítványfájlt az NXLog cert könyvtárába:
másolja a loggly_full fájlt.crt C:/Program Files * / nxlog / cert - állítsa be a kimeneti modult az om_ssl és a tanúsítvány helye segítségével. A titkosított naplók alapértelmezett syslog portja a 6514. AllowUntrusted FALSE megakadályozza a kapcsolatot a kiszolgálóval, ha a tanúsítvány nem megbízható vagy önaláírt:
<Output out>Module om_sslHost server.example.comPort 6514CAFile %CERTDIR%/example.crtAllowUntrusted FALSE<Output>