du kan bruke verktøyene i denne artikkelen til å sentralisere Windows-hendelsesloggene fra flere servere og skrivebord. Ved å administrere loggene dine riktig, kan du spore helsen til systemene dine, holde loggfilene dine sikre og filtrere innholdet for å finne spesifikk informasjon.
- Hvorfor Sentralisere Logger?
- Windows-Hendelsesabonnement
- Eksempel System
- Oppsett
- Aktiver Windows Remote Management-Tjenesten
- Konfigurere Tjenesten Windows Event Collector
- Konfigurere Gruppen Hendelseslogglesere
- Konfigurer Windows-Brannmur
- Opprett Et Abonnement
- Kontroller Hendelser På Samlerdatamaskinen
- Opprette En Egendefinert Visning (Valgfritt)
- Windows-Loggingstjenester
- Installer NXLog
- Konfigurer NXLog
- Fil Logger
- Iis-Logger
- Feillogger FOR SQL Server
- Videresending Av Logger Til En Server
- Krypteringslogger med TLS
Hvorfor Sentralisere Logger?
Sentralisering av loggene sparer tid og øker påliteligheten til loggdataene dine. Når windows-loggfiler lagres lokalt på hver server, må du individuelt logge på hver enkelt for å gå gjennom dem og se etter eventuelle feil eller advarsler. Hvis serveren ikke svarer, kan du være ute av lykken. Hvis du ikke er sikker på hvilke servere som er berørt, må du jakte gjennom hver enkelt, noe som kan ta lang tid på store nettverk. Loggfilene er også sikrere på et sentralisert sted, fordi selv når forekomstene dine er avsluttet eller filene dine slettes (med vilje eller utilsiktet), er de sentraliserte sikkerhetskopiene av loggene upåvirket.
Windows-Hendelsesabonnement
det er mulig for En Windows-server å videresende hendelsene til en collector-server. I dette scenariet blir samlingsserveren et sentralt programdatabase For Windows-logger fra andre servere (kalt hendelseskilder) i nettverket. Strømmen av hendelser fra en kilde til en samler kalles et abonnement.
denne prosedyren viser hvordan du konfigurerer den. Disse trinnene fungerer på Windows Server 2008 R2, Windows Server 2012 Og Windows Server 2019.
Eksempel System
vi bruker To Active Directory Domene-sluttet Windows Server 2012-systemer. Domenenavnet er mytestdomain.com og begge maskinene er registrert med domenet.
Kildeserver MYTESTSQL er vert FOR EN FOREKOMST AV SQL Server – 2014. Collector server MYTESTSERVER fungerer som en hendelseslogg abonnent for å sentralisere ALLE SQL Server – relaterte logger FRA MYTESTSQL.
Oppsett
Aktiver Windows Remote Management-Tjenesten
Windows Remote Management (WinRM) Er En protokoll for utveksling av informasjon på tvers av systemer i infrastrukturen. Du må aktivere det på hver av kildedatamaskinene for å utveksle loggfiler.
- Logg Eksternt På kildedatamaskinen (MYTESTSQL) som en lokal eller domeneadministrator.
- Aktiver Windows Remote Management Service fra En Ledetekst:
winrm quickconfig
hvis den allerede kjører, vises en melding som ligner på dette eksemplet.
Konfigurere Tjenesten Windows Event Collector
Du må aktivere Tjenesten Windows Event Collector På collector-serveren slik at den kan motta logger fra kildene dine.
- Logg Eksternt På samlerdatamaskinen (MYTESTSERVER) som en lokal eller domeneadministrator.
- Konfigurer Windows Event Collector-Tjenesten fra En Ledetekst:
wecutil qcin
hvis du blir bedt om det, trykker du på y
Konfigurere Gruppen Hendelseslogglesere
som standard er enkelte logger begrenset til administratorer. Dette kan føre til problemer når du mottar logger fra andre systemer. Hvis du vil unngå dette, kan du gi tilgang til samlerdatamaskinen ved å legge den til I Gruppen Hendelseslogglesere.
- Gå tilbake til kildedatamaskinen (MYTESTSQL).
- Åpne Serverbehandling.
- Åpne Datamaskinbehandling.
- Utvid noden Lokale Brukere og Grupper fra Navigasjonsruten og velg Grupper.
- Dobbeltklikk Hendelseslogglesere.
- Klikk Legg til for å åpne dialogboksen Velg Brukere, Datamaskiner, Tjenestekontoer eller Grupper.
- Klikk Objekttyper.
- Sjekk Datamaskiner og klikk OK.
- Skriv INN MYTESTSERVER som objektnavn og klikk På Sjekk Navn. Hvis datamaskinkontoen er funnet, bekreftes den med en understreking.
- Klikk OK to ganger for å lukke dialogboksene.
Konfigurer Windows-Brannmur
hvis kildedatamaskinen kjører Windows-Brannmur, må du sørge for At Den Tillater Ekstern Hendelsesloggbehandling og ekstern Hendelsesovervåkningstrafikk.
Opprett Et Abonnement
Abonnementer definer relasjonen mellom en samler og en kilde. Du kan konfigurere en samler til å motta hendelser fra et hvilket som helst antall kilder (et kildeinitiert abonnement), eller angi et begrenset sett med kilder (et samleinitiert abonnement). I dette eksemplet oppretter vi et samlerinitiert abonnement siden vi vet hvilke datalogger vi vil motta.
- Start Hendelsesliste-programmet på collector server MYTESTSERVER.
- Velg Abonnementer fra Navigasjonsruten
- Klikk Opprett Abonnement i Handlinger-ruten.
- på Abonnementsegenskapene skriver du inn følgende som vist i eksemplet:
Abonnementsnavn: MYTESTSQL_EVENTS
Beskrivelse: Hendelser fra ekstern kildeserver MYTESTSQL
Mållogg: Videresendte Hendelser
Velg Collector initiert og klikk Velg Datamaskiner for å åpne Dialogboksen Datamaskiner.
- Klikk Legg Til Domenedatamaskiner.
- Skriv INN MYTESTSQL som objektnavn og klikk På Kontroller Navn. Hvis datamaskinen er funnet, bekreftes den med en understreking.
- Klikk OK.
- Klikk OK for å gå tilbake til Abonnementsegenskapene.
- Klikk Velg Hendelser for å åpne Spørringsfilteret og angi følgende for å angi at den eksterne serveren skal videresende alle programhendelser fra de siste 24 timene:
Logget: Siste 24 timer
Sjekk Alle Hendelsesnivåer
Velg ved logg
Hendelseslogger: Velg Program fra rullegardinlisten
- Klikk OK for å gå tilbake til Abonnementsegenskapene.
- Klikk Avansert for å åpne De Avanserte Abonnementsinnstillingene og angi følgende:
Velg Maskinkonto
Velg Minimer Ventetid
Protokoll: HTTP
Port: 5985
- Klikk OK for å gå tilbake til Abonnementsegenskapene.
- Klikk OK for å lukke.
Abonnementsnoden i collector computer event viewer viser nå det nye abonnementet.
Kontroller Hendelser På Samlerdatamaskinen
Velg Videresendte Hendelser Fra Navigasjonsruten på samlerdatamaskinen.
Datamaskin-kolonnen i detaljruten angir at hendelsene er fra den eksterne datamaskinen MYTESTSQL.MYTESTDOMAIN.COM. du kan aktivere eller deaktivere collector-abonnementet ved å høyreklikke på abonnementet og velge Deaktiver. Statusen for abonnementet vises da som deaktivert i hovedvinduet. Et aktivt samlerabonnement betyr ikke at det lykkes. For å se om samleren kan koble til kilden, høyreklikk på abonnementet og velg Runtime Status. I dette eksemplet kan ikke samleren koble til kilden. Som standard prøver den hvert femte minutt.
Hvis ALT ER I ORDEN, Viser Abonnementsstatus En grønn hake med en aktiv status.
Opprette En Egendefinert Visning (Valgfritt)
Når hendelsene er videresendt, kan du opprette egendefinerte visninger for å se de konsoliderte hendelsene. Du kan for eksempel opprette en egendefinert visning for feilhendelser. Dette eksemplet oppretter en egendefinert visning FOR SQL Server – relaterte meldinger. En samler datamaskin kan være vert for tusenvis av poster fra dusinvis av servere. Ved hjelp av en egendefinert visning kan du opprette ordre fra en overbelastning av informasjon. Hvis du vil ha detaljerte trinn, kan Du se Delen Opprette En Egendefinert Visning I Grunnleggende Om Logging i Windows.
Windows-Loggingstjenester
det finnes Flere Windows-tjenester du kan bruke til å sentralisere alle loggdataene dine til en ekstern loggingstjeneste. Disse tjenestene sender logger over syslog til en loggserver på tvers av plattformer eller skybasert loggtjeneste som SolarWinds® Loggly®.
Vi anbefaler NXLog, en populær, fritt nedlastbar tjeneste som kjører i bakgrunnen. Alternativt er det syslog-ng og Snare, som er tjenester som samler loggfilene dine. Alle disse tjenestene gir ekstra faglig støtte mot et gebyr.
Installer NXLog
dette eksemplet installerer Og konfigurerer NXlog til å pakke loggfilene dine.
Last ned og installer den gjeldende versjonen Av NXlog. Nedlastingen inneholder et intuitivt installasjonsprogram. Når installasjonen er fullført, åpner du konfigurasjonsfilen. Som standard er NXLog-konfigurasjonsfilen plassert på C:/Program Filer (x86) / nxlog / conf / nxlog.conf
du kan opprette forskjellige typer konfigurasjonsmoduler.
- Innganger for kilden til loggene
- Utganger for hvor du skal sende loggene
- Ruter for å kartlegge inngangene til utgangene
når du gjør endringer I nxlog-konfigurasjonsfilen, må Du starte nxlog-tjenesten på nytt.
Konfigurer NXLog
dette eksemplet endrer NXLog-konfigurasjonsfilen for å sentralisere hendelsesloggene For Windows. Legge til kodebiten nedenfor til slutten av nxlog.conf-filen gjør at modulen og gir den navnet «eventlog». Im_msvistalog-inndatamodulen sender nye oppføringer Til Windows-hendelsesloggen, inkludert system -, maskinvare -, program-og sikkerhetsrelaterte hendelser.
# Windows Event Log<Input eventlog># Uncomment im_msvistalog for Windows Vista/2008 and laterModule im_msvistalog# Uncomment im_mseventlog for Windows XP/2000/2003# Module im_mseventlog# If you prefer to send events as JSON dataExec $Message = to_json();</Input>
Fil Logger
NXLog kan brukes til å lese logger filer lagret på en stasjon. I dette eksemplet er filnavnet FIL1. SavePos TRUE betyr At NXLog vil spore sin nåværende plassering i loggfilen på exit. Exec $Message = $raw_event betyr At NXLog vil innta raw-loggmeldingen uten å bruke ytterligere formatering. Filnavnet kan også inkludere kataloger eller wild cards.
<Input FILE1>Module im_fileFile "FILE1"SavePos TRUEExec $Message = $raw_event;</Input>
Iis-Logger
SOM vi dekket I Delen Grunnleggende Om Logging I Windows, INNEHOLDER iis-logger tilgangslogger som er lagret I w3c-format. Vi anbefaler at du konvertere dem TIL JSON format for enkel behandling av en logg styringsverktøy. NXLog kan gjøre denne konverteringen ved HJELP AV w3c forlengelse. Pass på at du bruker riktig format i konfigurasjonsfilen, slik at analysen skjer riktig, og du inkluderer loggfiler fra alle nettstedene dine.
<Extension w3c>Module xm_csvFields $date, $time, $s-ip, $cs-method, $cs-uri-stem, $cs-uri-query, $s-port, $cs-username, $c-ip, $csUser-Agent, $cs-Referer, $sc-status, $sc-substatus, $sc-win32-status, $time-takenFieldTypes string, string, string, string, string, string, integer, string, string, string, string, integer, integer, integer, integerDelimiter ' 'QuoteChar '"'EscapeControl FALSEUndefValue -</Extension># Convert the IIS logs to JSON and use the original event time<Input IIS_Site1>Module im_fileFile "C:/inetpub/logs/LogFiles/W3SVC1/u_ex*"SavePos TRUEExec if $raw_event =~ /^#/ drop();else{w3c->parse_csv();$SourceName = "IIS";$Message = to_json();}</Input>
Feillogger FOR SQL Server
SQL Server Er Microsofts flaggskipdatabaseplattform i virksomhetsklassen. Den kommer i en pakke med database og datavarehus verktøy. SQL Server har vanligvis sine egne logger lagret i programmets installasjonsmappe I windows-filsystemet. STANDARDPLASSERINGEN FOR SQL Server 2012 er C:/Program Filer / Microsoft SQL Server/MSSQL11.Mssqlserver / Mssql / Logg. Loggoppføringene sendes også Til hendelsesloggen For windows-programmet.
SQL Server-operasjoner som sikkerhetskopiering og gjenoppretting, tidsavbrudd for spørring eller sakte i/Os er derfor enkle å finne fra hendelsesloggen For Windows-programmer, mens sikkerhetsrelaterte meldinger som mislykkede påloggingsforsøk registreres i hendelsesloggen For Windows-sikkerhet.
Videresending Av Logger Til En Server
NXLog kan videresende logger fra hvilken som helst av inngangene beskrevet ovenfor til et eksternt mål, for eksempel en loggserver eller en skybasert loggbehandlingstjeneste. For å gjøre Dette bruker NXLog konsepter kalt Utganger og Ruter. Utganger er moduler som gir funksjonalitet for å sende logger til et mål, for eksempel en fil eller ekstern server. Ruter er banene som en loggmelding tar fra en inngang (for eksempel im_msvistalog-modulen) til en utgang (for eksempel en loggbehandlingstjeneste).
legg til en utdatamodul i nxlog for å videresende logger.conf konfigurasjonsfil. Legg deretter Til En Rutemodul for å sende logger fra de valgte inngangene til de valgte utgangene. I dette eksemplet sender vi logger som syslog over TCP til vertsnavnet OVER standard syslog-port 514. Vi lager en rute som tar logger fra eventlog-inngangen og sender den til den nye utgangen (navngitt ut):
<Output out>Module om_tcpHost HOSTNAMEPort 514</Output><Route 1>Path eventlog => out</Route>
Flere logghåndteringsløsninger tilbyr spesifikke oppsettinstruksjoner For windows-logging. Loggly er et eksempel på en leverandør og har mer detaljert informasjon om å sette Opp NXLog for å samle loggfilene i deres guide, Logging fra Windows.
Krypteringslogger med TLS
som standard overføres logger som sendes Over Internett i klartekst. Dette betyr at snoopers kan fange opp og vise loggdataene dine. Det er best å kryptere loggdataene dine når de er i transitt, spesielt hvis de inneholder sensitiv informasjon som personlig identifikasjonsdetaljer, regjeringsregulerte data eller finansiell informasjon. Den vanligste protokollen for kryptering av syslog-kommunikasjon er Tls, Eller Transport Layer Security.
TLS krypterer loggene dine, slik at ingen kan snuse på sensitive data i loggene dine. Beste praksis er ikke å logge informasjon som passord, men noen programmer gjør det likevel. TLS-kryptering bidrar til å holde disse dataene sikrere. Kryptering forhindrer at ondsinnede parter som befinner seg mellom loggkildene og destinasjonene dine, leser eller endrer loggdataene dine.
Her er et eksempel på å sette Opp nxlog-konfigurasjon med TLS-kryptering for Loggly.
- Last Ned Logglys digitale sertifikat fra konfigurasjonssiden For nxlog TLS.
- Kopier den digitale sertifikatfilen til nxlog cert-katalogen:
kopier loggly_full.crt C:/Program Filer * / nxlog / cert - Konfigurer utdatamodulen med om_ssl og sertifikatplasseringen. Standard syslog-port for krypterte logger er 6514. Allowunttrusted FALSE hindrer en tilkobling til serveren hvis sertifikatet ikke er klarert eller selvsignert:
<Output out>Module om_sslHost server.example.comPort 6514CAFile %CERTDIR%/example.crtAllowUntrusted FALSE<Output>