puteți utiliza instrumentele din acest articol pentru a centraliza jurnalele de evenimente Windows de pe mai multe servere și desktop-uri. Prin administrarea corectă a jurnalelor, puteți urmări starea de sănătate a sistemelor dvs., puteți păstra fișierele jurnal în siguranță și puteți filtra conținutul pentru a găsi informații specifice.
- De Ce Să Centralizăm Jurnalele?
- abonament pentru evenimente Windows
- exemplu de sistem
- configurare
- activați serviciul Windows Remote Management
- Configurați serviciul colector de evenimente Windows
- configurați grupul de cititori jurnal de evenimente
- configurați Paravanul de protecție Windows
- crearea unui abonament
- verificarea evenimentelor de pe computerul colector
- crearea unei vizualizări particularizate(opțional)
- servicii de logare Windows
- Install Nxlog
- Configure NXLog
- jurnalele de fișiere
- jurnalele IIS
- jurnale de erori SQL Server
- redirecționarea jurnalelor către un Server
- criptarea jurnalelor cu TLS
De Ce Să Centralizăm Jurnalele?
centralizarea jurnalelor economisește timp și crește fiabilitatea datelor dvs. de jurnal. Când fișierele jurnal Windows sunt stocate local pe fiecare server, trebuie să vă conectați individual la fiecare pentru a le parcurge și a căuta erori sau avertismente. Dacă serverul nu răspunde, s-ar putea să nu aveți noroc. Dacă nu sunteți sigur ce servere sunt afectate, trebuie să vânați prin fiecare, ceea ce poate dura mult timp pe rețelele mari. Fișierele jurnal sunt, de asemenea, mai sigure într-o locație centralizată, deoarece chiar și atunci când instanțele dvs. sunt terminate sau fișierele dvs. sunt șterse (intenționat sau neintenționat), copiile de rezervă centralizate ale jurnalelor dvs. nu sunt afectate.
abonament pentru evenimente Windows
este posibil ca un server Windows să-și transmită evenimentele către un server colector. În acest scenariu, serverul colector devine un depozit central pentru jurnalele Windows de la alte servere (numite surse de evenimente) din rețea. Fluxul de evenimente de la o sursă la un colector se numește abonament.
această procedură demonstrează modul de configurare. Acești pași funcționează pe Windows Server 2008 R2, Windows Server 2012 și Windows Server 2019.
exemplu de sistem
folosim două sisteme Windows Server 2012 asociate domeniului Active Directory. Numele domeniului este mytestdomain.com și ambele mașini sunt înregistrate în domeniu.
server sursă mytestsql găzduiește o instanță SQL Server 2014. Collector server mytestserver funcționează ca un abonat jurnal de evenimente pentru a centraliza toate jurnalele SQL Server legate de MYTESTSQL.
configurare
activați serviciul Windows Remote Management
Windows Remote Management (WinRM) este un protocol pentru schimbul de informații între sistemele din infrastructura dvs. Trebuie să-l activați pe fiecare dintre computerele sursă pentru a face schimb de fișiere jurnal.
- conectați-vă de la distanță la computerul sursă (MYTESTSQL) ca administrator local sau de domeniu.
- activați serviciul de gestionare la distanță Windows dintr-un Prompt de comandă:
winrm quickconfig
dacă rulează deja, este afișat un mesaj similar cu acest exemplu.
Configurați serviciul colector de evenimente Windows
trebuie să activați serviciul colector de evenimente Windows pe serverul colector pentru a-i permite să primească jurnale din sursele dvs.
- conectați-vă de la distanță la computerul colector (MYTESTSERVER) ca administrator local sau de domeniu.
- Configurați serviciul Windows Event Collector dintr-un Prompt de comandă:
wecutil qcin
dacă vi se solicită ca exemplul, apăsați y
configurați grupul de cititori jurnal de evenimente
în mod implicit, anumite jurnale sunt limitate la administratori. Acest lucru poate cauza probleme la primirea jurnalelor de la alte sisteme. Pentru a evita acest lucru, puteți acorda acces la computerul colector adăugându-l la grupul de cititori jurnal de evenimente.
- reveniți la computerul sursă (MYTESTSQL).
- Deschideți Server Manager.
- Deschideți Computer Management.
- extindeți nodul utilizatori și grupuri locale din panoul de navigare și selectați Grupuri.
- faceți dublu clic pe cititorii Jurnalului de evenimente.
- Faceți clic pe Adăugare pentru a deschide dialogul Selectare utilizatori, computere, conturi de servicii sau grupuri.
- Faceți Clic Pe Tipuri De Obiecte.
- verificați computerele și faceți clic pe OK.
- introduceți mytestserver ca nume de obiect și faceți clic pe Verificați numele. Dacă se găsește contul computerului, acesta este confirmat cu o subliniere.
- Faceți clic pe OK de două ori pentru a închide casetele de dialog.
configurați Paravanul de protecție Windows
dacă computerul sursă execută Paravanul de protecție Windows, asigurați-vă că permite gestionarea jurnalului de evenimente la distanță și traficul Monitor de evenimente la distanță.
crearea unui abonament
abonamentele definesc relația dintre un colector și o sursă. Puteți configura un colector pentru a primi evenimente din orice număr de surse (un abonament inițiat de sursă) sau puteți specifica un set limitat de surse (un abonament inițiat de colector). În acest exemplu, creăm un abonament inițiat de colector, deoarece știm ce jurnale de computer dorim să primim.
- porniți aplicația Event Viewer pe serverul colector MYTESTSERVER.
- selectați Abonamente din panoul de navigare
- Faceți clic pe Creare Abonament din panoul Acțiuni.
- în proprietățile abonamentului, introduceți următoarele după cum se arată în exemplu:
nume abonament: MYTESTSQL_EVENTS
descriere: evenimente din serverul sursă la distanță mytestsql
jurnal destinație: Evenimente redirecționate
selectați Collector initiated și faceți clic pe Select Computers pentru a deschide dialogul Computers.
- Faceți Clic Pe Adăugați Computere De Domeniu.
- introduceți mytestsql ca nume de obiect și faceți clic pe Verificați numele. Dacă computerul este găsit, acesta este confirmat cu o subliniere.
- Faceți clic pe OK.
- Faceți clic pe OK pentru a reveni la proprietățile abonamentului.
- Faceți clic pe Selectare evenimente pentru a deschide filtrul de interogare și introduceți următoarele pentru a seta serverul la distanță să redirecționeze toate evenimentele aplicației din ultimele 24 de ore:
logat: Ultimele 24 de ore
verificați toate nivelurile de evenimente
selectați după jurnal
jurnale de evenimente: Selectați aplicația din lista derulantă
- Faceți clic pe OK pentru a reveni la proprietățile abonamentului.
- Faceți clic pe Avansat pentru a deschide setările avansate de abonament și introduceți următoarele:
selectați contul mașinii
selectați minimizați latența
Protocol: HTTP
Port: 5985
- Faceți clic pe OK pentru a reveni la proprietățile abonamentului.
- Faceți clic pe OK pentru a închide.
nodul de abonament din vizualizatorul de evenimente collector computer afișează acum noul abonament.
verificarea evenimentelor de pe computerul colector
selectați Evenimente redirecționate din panoul de navigare de pe computerul colector.
coloana Computer din panoul Detalii indică faptul că evenimentele provin de la computerul la distanță MYTESTSQL.MYTESTDOMAIN.COM. puteți activa sau dezactiva abonamentul colector făcând clic dreapta pe abonament și alegând Dezactivare. Starea abonamentului este apoi afișată ca dezactivată în fereastra principală. Un abonament colector activ nu înseamnă că are succes. Pentru a vedea dacă colectorul se poate conecta la sursă, faceți clic dreapta pe abonament și selectați Runtime Status. În acest exemplu, colectorul nu se poate conecta la sursă. În mod implicit, acesta încearcă din nou la fiecare cinci minute.
dacă totul este în regulă, starea de rulare a abonamentului afișează o bifă verde cu o stare activă.
crearea unei vizualizări particularizate(opțional)
odată ce evenimentele sunt redirecționate, puteți crea vizualizări particularizate pentru a vedea evenimentele consolidate. De exemplu, puteți crea o vizualizare particularizată pentru evenimente de eroare. Acest exemplu creează o vizualizare particularizată pentru mesajele legate de SQL Server. Un computer colector poate găzdui mii de înregistrări de la zeci de servere. Utilizarea unei vizualizări personalizate vă permite să creați ordine dintr-o supraîncărcare de informații. Pentru Pași detaliați, consultați secțiunea Crearea unei vizualizări personalizate în elementele de bază ale jurnalizării Windows.
servicii de logare Windows
există mai multe servicii Windows pe care le puteți utiliza pentru a centraliza toate datele de logare la un serviciu de logare extern. Aceste servicii trimit jurnale prin syslog către un server de jurnale cross-platform sau un serviciu de logare bazat pe cloud, cum ar fi SolarWinds.
vă recomandăm NXLog, un serviciu popular, descărcabil gratuit, care rulează în fundal. Alternativ, există syslog-ng și Snare, care sunt servicii care colectează fișierele jurnal. Toate aceste servicii oferă asistență profesională suplimentară contra cost.
Install Nxlog
acest exemplu instalează și configurează NXlog pentru a împacheta fișierele jurnal.
descărcați și instalați versiunea curentă a NXlog. Descărcarea include un program de instalare intuitiv. După finalizarea instalării, deschideți fișierul de configurare. În mod implicit, fișierul de configurare NXLog se află la C:/Program fișiere (x86)/nxlog / conf / nxlog.conf
puteți crea diferite tipuri de module de configurare.
- intrări pentru sursa jurnalelor dvs.
- ieșiri pentru unde să trimiteți jurnalele
- rute pentru maparea intrărilor la ieșirile dvs.
ori de câte ori efectuați modificări la fișierul de configurare NXlog, trebuie să reporniți serviciul nxlog.
Configure NXLog
acest exemplu modifică fișierul de configurare Nxlog pentru a centraliza jurnalele de evenimente Windows. Adăugarea fragmentului de cod de mai jos la sfârșitul nxlog-ului.fișierul conf activează modulul și îi dă numele”eventlog”. Modulul de intrare im_msvistalog trimite noi intrări în Jurnalul de evenimente Windows, inclusiv evenimente legate de sistem, hardware, aplicație și securitate.
# Windows Event Log<Input eventlog># Uncomment im_msvistalog for Windows Vista/2008 and laterModule im_msvistalog# Uncomment im_mseventlog for Windows XP/2000/2003# Module im_mseventlog# If you prefer to send events as JSON dataExec $Message = to_json();</Input>
jurnalele de fișiere
NXLog poate fi folosit pentru a citi jurnalele fișierele stocate pe o unitate. În acest exemplu, numele fișierului este FILE1. SavePos adevărat înseamnă că NXLog va urmări locația curentă în fișierul jurnal la ieșire. Exec $ Message = $ raw_event înseamnă că NXLog va ingera mesajul jurnal brut fără a aplica nicio formatare suplimentară. Numele fișierului poate include, de asemenea, directoare sau cărți sălbatice.
<Input FILE1>Module im_fileFile "FILE1"SavePos TRUEExec $Message = $raw_event;</Input>
jurnalele IIS
așa cum am acoperit în secțiunea Windows Logging Basics, jurnalele IIS conțin jurnalele de acces stocate în format W3C. Vă recomandăm să le convertiți în format JSON pentru o procesare ușoară printr-un instrument de gestionare a jurnalului. NXLog poate face această conversie folosind extensia W3C. Asigurați-vă că utilizați formatul adecvat în fișierul de configurare, astfel încât parsarea să se întâmple corect și includeți fișiere jurnal de pe toate site-urile dvs.
<Extension w3c>Module xm_csvFields $date, $time, $s-ip, $cs-method, $cs-uri-stem, $cs-uri-query, $s-port, $cs-username, $c-ip, $csUser-Agent, $cs-Referer, $sc-status, $sc-substatus, $sc-win32-status, $time-takenFieldTypes string, string, string, string, string, string, integer, string, string, string, string, integer, integer, integer, integerDelimiter ' 'QuoteChar '"'EscapeControl FALSEUndefValue -</Extension># Convert the IIS logs to JSON and use the original event time<Input IIS_Site1>Module im_fileFile "C:/inetpub/logs/LogFiles/W3SVC1/u_ex*"SavePos TRUEExec if $raw_event =~ /^#/ drop();else{w3c->parse_csv();$SourceName = "IIS";$Message = to_json();}</Input>
jurnale de erori SQL Server
SQL Server este platforma de baze de date emblematice Microsoft din clasa enterprise. Acesta vine într-o suită de instrumente de baze de date și depozit de date. SQL Server are de obicei propriile Jurnale salvate în directorul de instalare al aplicației în sistemul de fișiere Windows. Locația implicită pentru SQL Server 2012 este C:/Program fișiere / Microsoft SQL Server / MSSQL11.MSSQLSERVER/MSSQL / jurnal. Intrările jurnal sunt, de asemenea, trimise la Jurnalul de evenimente Windows application.
operațiunile SQL Server precum backup and restore, query timeout sau I/Os lent sunt, prin urmare, ușor de găsit din jurnalul de evenimente al aplicației Windows, în timp ce mesajele legate de securitate, cum ar fi încercările de conectare eșuate, sunt capturate în Jurnalul de evenimente de securitate Windows.
redirecționarea jurnalelor către un Server
NXLog poate redirecționa jurnalele de la oricare dintre intrările descrise mai sus către o destinație externă, cum ar fi un server de jurnal sau un serviciu de gestionare a jurnalelor bazat pe cloud. Pentru a face acest lucru, NXLog folosește concepte numite ieșiri și rute. Ieșirile sunt module care oferă funcționalitate pentru trimiterea jurnalelor către o destinație, cum ar fi un fișier sau un server la distanță. Rutele sunt căile pe care un mesaj jurnal le ia de la o intrare (cum ar fi modulul im_msvistalog) la o ieșire (cum ar fi un serviciu de gestionare a jurnalului).
pentru a redirecționa jurnalele, adăugați un modul de ieșire în nxlog.fișier de configurare conf. Apoi adăugați un modul de traseu pentru a trimite jurnalele de la intrările alese la ieșirile alese. În acest exemplu, trimitem jurnale ca syslog peste TCP la numele de gazdă gazdă peste portul implicit syslog 514. Vom crea un traseu care ia jurnalele de intrare eventlog și trimite-l la noua ieșire (numit afară):
<Output out>Module om_tcpHost HOSTNAMEPort 514</Output><Route 1>Path eventlog => out</Route>
mai multe soluții de gestionare a jurnalului oferă instrucțiuni specifice de configurare pentru înregistrarea în jurnal Windows. Loggly este un exemplu de un furnizor și are informații mai detaliate despre configurarea NXLog pentru a aduna fișierele jurnal în ghidul lor, logare de la Windows.
criptarea jurnalelor cu TLS
în mod implicit, jurnalele trimise prin Internet sunt transmise în text clar. Acest lucru înseamnă snoopers poate intercepta și vizualiza datele de jurnal. Este cea mai bună practică să criptați datele dvs. de jurnal Atunci când sunt în tranzit, mai ales dacă conțin informații sensibile, cum ar fi detalii de identificare personală, date reglementate de guvern sau informații financiare. Cel mai comun protocol pentru criptarea comunicării syslog este TLS sau Transport Layer Security.
TLS criptează jurnalele dvs., împiedicând pe oricine să spioneze datele sensibile din jurnalele dvs. Cea mai bună practică nu este să înregistrați informații precum parolele, dar unele aplicații o fac oricum. Criptarea TLS ajută la menținerea acestor date mai sigure. Criptarea împiedică părțile rău intenționate situate între sursele și destinațiile dvs. de jurnal să citească sau să modifice datele dvs. de jurnal.
Iată un exemplu de configurare a configurației NXLog cu criptare TLS pentru Loggly.
- Descărcați certificatul digital Loggly de pe pagina de configurare NXLOG TLS.
- copiați fișierul certificatului digital în directorul nxlog cert:
copiați loggly_full.crt C:/Program fișiere * / nxlog / cert - configurați modulul de ieșire cu om_ssl și locația certificatului. Portul syslog implicit pentru jurnalele criptate este 6514. AllowUntrusted FALSE împiedică o conexiune la server în cazul în care certificatul nu este de încredere sau auto-semnat:
<Output out>Module om_sslHost server.example.comPort 6514CAFile %CERTDIR%/example.crtAllowUntrusted FALSE<Output>