Windows Logs centraliseren

u kunt de hulpmiddelen in dit artikel gebruiken om uw Windows event logs van meerdere servers en desktops te centraliseren. Door uw logboeken goed te beheren, kunt u de gezondheid van uw systemen bijhouden, uw logbestanden beveiligen en inhoud filteren om specifieke informatie te vinden.

Waarom Logs Centraliseren?

centraliseren van uw logboeken bespaart tijd en verhoogt de betrouwbaarheid van uw loggegevens. Wanneer Windows-logbestanden lokaal op elke server worden opgeslagen, moet u individueel inloggen op elke server om ze te doorlopen en te zoeken naar fouten of waarschuwingen. Als de server niet reageert, heb je misschien pech. Als u niet zeker weet welke servers worden getroffen, moet je jagen door elke een, die een lange tijd op grote netwerken kan duren. De logbestanden zijn ook veiliger op een gecentraliseerde locatie, omdat zelfs wanneer uw instanties worden beëindigd of uw bestanden worden verwijderd (opzettelijk of onbedoeld), de gecentraliseerde back-upkopieën van uw logs niet worden beïnvloed.

Windows Event Subscription

het is mogelijk dat een Windows server de gebeurtenissen doorstuurt naar een verzamelserver. In dit scenario wordt de verzamelserver een centrale opslagplaats voor Windows-logboeken van andere servers (zogenaamde gebeurtenisbronnen) in het netwerk. De stroom van gebeurtenissen van een bron naar een verzamelaar wordt een abonnement genoemd.

deze procedure laat zien hoe deze moet worden ingesteld. Deze stappen werken op Windows Server 2008 R2, Windows Server 2012 en Windows Server 2019.

Voorbeeldsysteem

we gebruiken twee met Active Directory–domeinen verbonden Windows Server 2012-systemen. De domeinnaam is mytestdomain.com en beide machines zijn geregistreerd bij het domein.

bronserver MYTESTSQL host een SQL Server 2014-instantie. Collector server MYTESTSERVER werkt als een event log abonnee om alle SQL Server-gerelateerde logs van MYTESTSQL te centraliseren.

Setup

Schakel de Windows Remote Management Service

Windows Remote Management (WinRM) is een protocol voor het uitwisselen van informatie tussen systemen in uw infrastructuur. U moet het op elk van uw broncomputers inschakelen om logboekbestanden uit te wisselen.

  1. log op afstand in op de broncomputer (MYTESTSQL) als lokale of domeinbeheerder.
  2. Windows Remote Management Service inschakelen vanaf een opdrachtprompt:
    winrm quickconfig

    als het al actief is, wordt een bericht weergegeven dat lijkt op dit voorbeeld.

Configureer de Windows Event Collector-Service

u moet de Windows Event Collector-Service op uw collector-server inschakelen zodat deze logboeken van uw bronnen kan ontvangen.

  1. log op afstand in op de verzamelcomputer (MYTESTSERVER) als lokale of domeinbeheerder.
  2. Configureer de Windows Event Collector-Service vanaf een opdrachtprompt:
    wecutil qcin

    druk op y

Configureer de leesgroep voor gebeurtenislogboeken

standaard zijn bepaalde logboeken beperkt tot beheerders. Dit kan problemen veroorzaken bij het ontvangen van logs van andere systemen. Om dit te voorkomen, kunt u toegang verlenen tot de verzamelcomputer door deze toe te voegen aan de groep lezers van gebeurtenislogboeken.

  1. Ga terug naar de broncomputer (MYTESTSQL).
  2. Serverbeheer Openen.
  3. Open Computerbeheer.
  4. vouw het knooppunt Lokale gebruikers en groepen uit in het navigatiedeelvenster en selecteer groepen.
  5. Dubbelklik op Gebeurtenisloglezers.
  6. klik op Toevoegen om het dialoogvenster Gebruikers, Computers, serviceaccounts of groepen selecteren te openen.
  7. Klik Op Objecttypen.
  8. Controleer Computers en klik op OK.
  9. voer MYTESTSERVER in als De objectnaam en klik op Namen controleren. Als het computeraccount wordt gevonden, wordt dit bevestigd met een onderstreping.
  10. klik tweemaal op OK om de dialoogvensters te sluiten.

configureer Windows Firewall

als op de broncomputer Windows Firewall wordt uitgevoerd, moet u ervoor zorgen dat extern Gebeurtenislogboekbeheer en extern Gebeurteniscontroleverkeer worden toegestaan.

Maak een abonnement

abonnementen definieer de relatie tussen een verzamelaar en een bron. U kunt een verzamelprogramma configureren voor het ontvangen van gebeurtenissen uit een willekeurig aantal bronnen (een door bron geïnitieerd abonnement), of een beperkte reeks bronnen opgeven (een door verzamelaar geïnitieerd abonnement). In dit voorbeeld maken we een collector-geïnitieerd abonnement omdat we weten welke computerlogs we willen ontvangen.

  1. start de Logboekviewer-toepassing op de verzamelserver MYTESTSERVER.
  2. Selecteer abonnementen in het navigatiedeelvenster
  3. klik op Abonnement maken in het deelvenster Acties.
  4. voer op de Abonnementseigenschappen het volgende in, zoals weergegeven in het voorbeeld:
    naam abonnement: MYTESTSQL_EVENTS
    omschrijving: gebeurtenissen van externe bronserver MYTESTSQL
    Doellogboek: Doorgestuurde gebeurtenissen
    Selecteer het geïnitieerde verzamelprogramma en klik op Computers selecteren om het dialoogvenster Computers te openen.
  5. Klik Op Domeincomputers Toevoegen.
  6. voer MIJNTESTSQL in als De objectnaam en klik op Namen controleren. Als de computer wordt gevonden, wordt deze bevestigd met een onderstreping.
  7. klik op OK.
  8. klik op OK om terug te keren naar de Abonnementseigenschappen.
  9. klik op gebeurtenissen selecteren om het Query-Filter te openen en voer het volgende in om de externe server in te stellen om alle toepassingsgebeurtenissen van de laatste 24 uur door te sturen:
    gelogd: Afgelopen 24 uur
    Controleer Alle Gebeurtenisniveaus
    Selecteer op log
    gebeurtenislogboeken: Selecteer toepassing in de vervolgkeuzelijst
  10. klik op OK om terug te keren naar de Abonnementseigenschappen.
  11. klik op Geavanceerd om de geavanceerde abonnementsinstellingen te openen en voer het volgende in:
    Selecteer Machineaccount
    Selecteer latentie minimaliseren
    Protocol: HTTP
    poort: 5985
  12. klik op OK om terug te keren naar de Abonnementseigenschappen.
  13. klik op OK om te sluiten.

het knooppunt abonnement in de logboeken van de verzamelcomputer toont nu het nieuwe abonnement.

gebeurtenissen op de Verzamelcomputer

Selecteer doorgestuurde gebeurtenissen in het navigatiedeelvenster op de verzamelcomputer.

de kolom Computer in het detailvenster geeft aan dat de gebeurtenissen van de externe computer afkomstig zijn MYTESTSQL.MYTESTDOMAIN.COM. u kunt het collector-abonnement in-of uitschakelen door met de rechtermuisknop op het abonnement te klikken en uitschakelen te kiezen. De status van het abonnement wordt dan weergegeven als uitgeschakeld in het hoofdvenster. Een actief collector-abonnement betekent niet dat het succesvol is. Om te zien of de verzamelaar verbinding kan maken met de bron, klik met de rechtermuisknop op het abonnement en selecteer Runtime Status. In dit voorbeeld kan de collector geen verbinding maken met de bron. Standaard wordt het elke vijf minuten opnieuw geprobeerd.

als alles in orde is, toont de runtime-status van het abonnement een groen vinkje met een actieve status.

Maak een aangepaste weergave (optioneel)

zodra de gebeurtenissen zijn doorgestuurd, kunt u aangepaste weergaven maken om de geconsolideerde gebeurtenissen te zien. U kunt bijvoorbeeld een aangepaste weergave maken voor foutgebeurtenissen. Dit voorbeeld maakt een aangepaste weergave voor SQL Server–gerelateerde berichten. Een verzamelcomputer kan duizenden records van tientallen servers hosten. Met behulp van een aangepaste weergave kunt u orde te creëren uit een overdaad aan informatie. Voor gedetailleerde stappen, zie het gedeelte Een aangepaste weergave maken in Windows Logging Basics.

Windows Logging Services

er zijn verschillende Windows services die u kunt gebruiken om al uw logging data te centraliseren naar een externe logging service. Deze services sturen logs via syslog naar een platformonafhankelijke logserver of cloudgebaseerde logservice zoals SolarWinds® Loggly®.

we raden NXLog aan, een populaire, vrij te downloaden service die op de achtergrond draait. Afwisselend zijn er syslog-ng en Snare, die diensten zijn die uw logbestanden verzamelen. Al deze diensten bieden extra professionele ondersteuning tegen een vergoeding.

Install NXLog

dit voorbeeld installeert en configureert NXlog om uw logbestanden te verpakken.

Download en installeer de huidige versie van NXlog. De download bevat een intuã tieve installateur. Zodra de installatie voltooid is, open je het configuratiebestand. Standaard bevindt het nxlog-configuratiebestand zich op C:/Program bestanden (x86)/nxlog / conf / nxlog.conf

u kunt verschillende typen configuratiemodules maken.

  • Inputs voor de bron van uw logs
  • Outputs waar u de logs
  • Routes heen moet sturen om uw ingangen aan uw uitgangen

toe te wijzen wanneer u wijzigingen aanbrengt in het nxlog-configuratiebestand, moet u de nxlog-service opnieuw starten.

Configure NXLog

dit voorbeeld wijzigt het nxlog-configuratiebestand om uw Windows-gebeurtenislogboeken te centraliseren. Het toevoegen van de code fragment hieronder aan het einde van uw nxlog.conf file activeert de module en geeft het de naam “eventlog”. De invoermodule im_msvistalog verzendt nieuwe vermeldingen naar het Windows-gebeurtenislogboek, inclusief systeem -, hardware -, toepassing-en beveiligingsgerelateerde gebeurtenissen.

# Windows Event Log<Input eventlog># Uncomment im_msvistalog for Windows Vista/2008 and laterModule im_msvistalog# Uncomment im_mseventlog for Windows XP/2000/2003# Module im_mseventlog# If you prefer to send events as JSON dataExec $Message = to_json();</Input>

Bestandslogboeken

NXLog kan worden gebruikt om logbestanden te lezen die op een station zijn opgeslagen. In dit voorbeeld is de bestandsnaam FILE1. SavePos TRUE betekent dat NXLog zijn huidige locatie in het logbestand bij het afsluiten zal volgen. Exec $Message = $raw_event betekent dat NXLog het raw log bericht zal opnemen zonder extra opmaak toe te passen. De bestandsnaam kan ook directory ‘ s of wild cards bevatten.

<Input FILE1>Module im_fileFile "FILE1"SavePos TRUEExec $Message = $raw_event;</Input>

IIS-logboeken

zoals beschreven in de Windows Logging Basics sectie, bevatten IIS-logboeken toegangslogboeken die zijn opgeslagen in W3C-indeling. Wij raden u aan ze te converteren naar JSON-formaat voor eenvoudige verwerking door een log management tool. NXLog kan deze conversie doen met behulp van de W3C extensie. Zorg ervoor dat je het juiste formaat gebruikt in het configuratiebestand, zodat de parsing correct gebeurt, en je logbestanden van al je sites toevoegt.

<Extension w3c>Module xm_csvFields $date, $time, $s-ip, $cs-method, $cs-uri-stem, $cs-uri-query, $s-port, $cs-username, $c-ip, $csUser-Agent, $cs-Referer, $sc-status, $sc-substatus, $sc-win32-status, $time-takenFieldTypes string, string, string, string, string, string, integer, string, string, string, string, integer, integer, integer, integerDelimiter ' 'QuoteChar '"'EscapeControl FALSEUndefValue -</Extension># Convert the IIS logs to JSON and use the original event time<Input IIS_Site1>Module im_fileFile "C:/inetpub/logs/LogFiles/W3SVC1/u_ex*"SavePos TRUEExec if $raw_event =~ /^#/ drop();else{w3c->parse_csv();$SourceName = "IIS";$Message = to_json();}</Input>

SQL Server Error Logs

SQL Server is Microsoft ‘ s enterprise-class vlaggenschip database platform. Het wordt geleverd in een suite van database en Data warehouse tools. SQL Server heeft meestal zijn eigen logboeken opgeslagen in de installatiemap van de toepassing in het Windows-bestandssysteem. De standaardlocatie voor SQL Server 2012 is C:/Program bestanden/Microsoft SQL Server / Mssql11.MSSQLSERVER / MSSQL / Log. De logboekvermeldingen worden ook naar het gebeurtenislogboek van de Windows-toepassing verzonden.

SQL Server-bewerkingen zoals back-up en herstel, query-time-outs of langzame I / O ‘ s zijn daarom eenvoudig te vinden vanuit het gebeurtenislogboek van de Windows-toepassing, terwijl beveiligingsgerelateerde berichten zoals mislukte aanmeldpogingen worden vastgelegd in het gebeurtenislogboek van Windows security.

Logboeken doorsturen naar een Server

NXLog kan logboeken van een van de hierboven beschreven ingangen doorsturen naar een externe bestemming, zoals een logserver of cloudgebaseerde logbeheerservice. Om dit te doen, gebruikt NXLog Concepten genaamd uitgangen en Routes. Uitgangen zijn modules die functionaliteit bieden voor het verzenden van logboeken naar een bestemming, zoals een bestand of een externe server. Routes zijn de paden die een logbericht neemt van een invoer (zoals de im_msvistalog-module) naar een uitvoer (zoals een logbeheerservice).

om logs door te sturen, voegt u een uitvoermodule toe aan uw nxlog.conf configuratiebestand. Voeg vervolgens een Routemodule toe om logs van de door u gekozen ingangen naar de door u gekozen uitgangen te verzenden. In dit voorbeeld sturen we logs als syslog over TCP naar de host hostnaam over de standaard syslog poort 514. We maken een route die logs van de eventlog invoer neemt en stuurt het naar de nieuwe uitvoer (genaamd out):

<Output out>Module om_tcpHost HOSTNAMEPort 514</Output><Route 1>Path eventlog => out</Route>

verschillende log management oplossingen bieden specifieke setup instructies voor Windows logging. Loggly is een voorbeeld van een provider en heeft meer gedetailleerde informatie over het opzetten van NXLog om uw logbestanden te verzamelen in hun gids, loggen van Windows.

Logs versleutelen met TLS

standaard worden logs die via Internet worden verzonden, in duidelijke tekst verzonden. Dit betekent dat snoopers uw loggegevens kunnen onderscheppen en bekijken. Het is de beste praktijk om uw loggegevens te versleutelen wanneer deze onderweg zijn, vooral als het gevoelige informatie bevat, zoals persoonlijke identificatiegegevens, door de overheid gereguleerde gegevens of financiële informatie. Het meest voorkomende protocol voor het versleutelen van syslog-communicatie is TLS, of Transport Layer Security.

TLS versleutelt uw logs, zodat niemand kan snuffelen op gevoelige gegevens in uw logs. Best practice is niet om informatie zoals wachtwoorden in te loggen, maar sommige toepassingen doen het toch. TLS-versleuteling helpt deze gegevens veiliger te houden. Versleuteling voorkomt dat kwaadaardige partijen die zich tussen uw logboekbronnen en bestemmingen bevinden, uw logboekgegevens lezen of wijzigen.

hier is een voorbeeld van het instellen van Nxlog configuratie met TLS encryptie voor Loggly.

  1. download het digitale certificaat van Loggly van de nxlog TLS-configuratiepagina.
  2. kopieer het digitale certificaatbestand naar uw nxlog-cert-map:
    kopieer loggly_full.crt C:/Program bestanden * /nxlog / cert
  3. configureer uw uitvoermodule met om_ssl en de certificaatlocatie. De standaard syslog poort voor versleutelde logs is 6514. AllowUntrusted FALSE voorkomt een verbinding met de server als het certificaat niet vertrouwd of zelf ondertekend is:
    <Output out>Module om_sslHost server.example.comPort 6514CAFile %CERTDIR%/example.crtAllowUntrusted FALSE<Output>



+