Simovits

Konfigurera en Windows Event Collector

I denna blogg kommer vi gå igenom hur man sätter upp en Windows Event Collector och en del anpassningar om måste göras för detta. En Windows Event Collector (WEC) används för att samla in logg från Windows servrar och klienter. Detta är en funktionalitet som finns inbyggd i Windows och konfigureras med några GPO:er och en installation och konfiguration av en Windows 2019 server med rollen WEC. Detta är mycket användbart när exempelvis ett SIEM system ska inhämta logg från ett antal Windows system. Nedan bild illustrerar en vanlig uppsättning av detta:

Konfiguration av WEC-server

För att konfigurera själva servern för att sätta upp rollen WEC behöver följande steg genomföras.

Först behöver vi kontrollera att WinRM (Windows Remote Managment service) är startad och att Event Forwarding är påslaget. Öppna en Kommando prompt med administratörs-behörigheter och skriv ”winrm gc”. Det kan redan vara konfigurerat enligt nedan:

WEF WinRM qc

Nu ska WEC-Kollektorn konfigureras. Öppna upp ”Event Viewer” och välj ”subscriptions”. Det kommer upp en ”pop up” vilket ni svarar ”Ja” på för att starta event forwarding när servern startas om:

WEF Event Forwarding 'Subscriptions'

Fix för Windows 2019 och loggmottagning

I Windows 2019 behöver följande fix appliceras för att tillåta loggningen. Se https://support.microsoft.com/en-us/help/4494462/events-not-forwarded-if-the-collector-runs-windows-server

För att kontrollera URL-behörigheterna, öppna en kommando-prompt i administratörsläge och kör följande kommando:

netsh http show urlacl

För att fixa URL-behörigheterna, öppna en kommando-prompt i administratörsläge och kör följande kommando:

netsh http delete urlacl url=http://+:5985/wsman/

netsh http add urlacl url=http://+:5985/wsman/ sddl=D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)

netsh http delete urlacl url=https://+:5986/wsman/

netsh http add urlacl url=https://+:5986/wsman/ sddl=D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)

Skapa prenumerationer

Prenumerationer kan skapas genom att öppna Event Viewer och klicka på subscriptions och sedan välja vad som ska loggas och från vilka klienter och servrar. Det finns två sätt att sköta loggningen till WECen, Collector och Source Initiated. I denna blogg kommer vi använda oss av Source Initiated, vilket betyder att klienten eller servern initierar anslutningen till loggservern.

Exempel på prenumeration för Windows-Defender

Skapa en ny subscription med följande loggfil (select events) Microsoft-Windows-Windows Defender/Operational och lägg till de grupper (Source computer initiated (Select Computer groups)) som ni tidigare har skjutit ut GPO på.

GPO för klienter

För att de server och klienter som ska leverera logg till Event Collectorn ska kunna göra detta behövs det att två GPO:er levereras till dem.

Åtkomst till Security-log Event forwarding

För att läsa Security loggen behöver NETWORK SERVICE läs access till loggen. För att kontrollera detta.

Kör: wevtutil gl security

Exempelvis så får vi svaret:

O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)

WEF Event log enable

/ca:O:BAG:SYD – /ca is the channel to set the permissions
(A;;0xf0007;;;SY) – local system full access
(A;;0x7;;;BA) – Administrators read, write and clear access
(A;;0x1;;;S-1-5-32-573) – Event Log Readers group read access

(A;;0x1;;;S-1-5-20) – NETWORK SERVICE read access

Om inte (A;;0x1;;;S-1-5-20) finns med, så addera den till GPOn för loggaccess.

Administrative Templates\Windows Components\Event Log Service\Security\Configure log access

O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)      –   Från kommandot ovan plus att vi gett NETWORK SERVICE läsaccess

Definiera loggserver

Sedan behöver loggservern definieras vilket klienter och servrar som ska leverera loggen vet vilken server som ska hantera loggen som skickas.

Administrative Templates\Windows Components\Event Forwarding\Configure target Subscription Manager

Server=http://SERVERNAME.domain.net:5985/wsman/SubscriptionManager/WEC

Slutsats

Nu när loggningen är uppsatt och loggen kommer in som den ska till WECen, kan valfri agent installeras på WEC servern och loggen levereras till valfritt SIEM system. I och med detta kan insynen och övervakningen på Windows servrar och klienter förbättras avsevärt. Även administrationen underlättas, då vi sköter allt från WEC-servern och slipper ha specifika logg-agenter på varje server och klient som ska övervakas.

Publicerat 2020-04-17 Skrivet av Petter Stymne