none
windows2012服务器配置为日志服务器 RRS feed

  • 问题

  • 公司的几台服务器上产生的日志比较多,相比windows产生的日志全部指定到一台特定的日志服务器,要怎么实现
    2019年7月9日 9:01

答案

  • 您好!

    我们已经有些时间没有收到您的更新信息了。此回复仅仅想请问您该问题是否有新的进展,或者您是否需要进一步的信息?

    如果您有任何疑问,请您及时告知我。

    Regards,

    Alex Zhu
    -----------------------------------------------
    如果回复有帮助, 请记住将其标记为答案。
    如果您有有关 technet 订阅者支持的反馈, 请联系 tnmff@microsoft.com.
    • 已标记为答案 smalfish 2019年7月23日 8:23
    2019年7月19日 8:45

全部回复

  • 您好!

    感谢您的上贴。

    日志收集的原理是各服务器的日志转发到某台集中控制的服务器。主要要考虑几个方面:
    1,网络方面:WEF (Windows Event Forwording) 使用 WinRM (Windows Remote Management) 来实现,需要开放5985 (HTTP)或者5986 (HTTPS)端口
    2,认证方面:如果收集服务器 (collector) 和产生日志的服务器在同一个域内,使用 Kerberos 认证,不需要额外的配置;如果收集服务器处于工作组或者其它不信任的域,则需要配置证书来实现认证
    3,权限方面:对于目标计算机,需要配置本地 Network Service 有读取 security 日志的权限 (可以通过组策略来完成)
    4,转发:通过配置组策略让目标服务器转发日志
    5,订阅:通过订阅来配置收集哪些日志

    详细的步骤,我们可以参考:
    Monitoring what matters – Windows Event Forwarding for everyone (even if you already have a SIEM.)
    https://blogs.technet.microsoft.com/jepayne/2015/11/23/monitoring-what-matters-windows-event-forwarding-for-everyone-even-if-you-already-have-a-siem/

    如果收集服务器是工作组计算机或者和目标计算机不在同一个信任域,可以参考:
    Windows Event Forwarding to a workgroup Collector Server
    https://blogs.technet.microsoft.com/thedutchguy/2017/01/24/windows-event-forwarding-to-a-workgroup-collector-server/

    如果您有任何疑问,请您及时告知我。

    Regards,

    Alex Zhu
    -----------------------------------------------
    如果回复有帮助, 请记住将其标记为答案。
    如果您有有关 technet 订阅者支持的反馈, 请联系 tnmff@microsoft.com.
    2019年7月10日 1:42
  • 您好!

    我们已经有些时间没有收到您的更新信息了。此回复仅仅想请问您该问题是否有新的进展,或者您是否需要进一步的信息?

    如果您有任何疑问,请您及时告知我。

    Regards,

    Alex Zhu
    -----------------------------------------------
    如果回复有帮助, 请记住将其标记为答案。
    如果您有有关 technet 订阅者支持的反馈, 请联系 tnmff@microsoft.com.
    • 已标记为答案 smalfish 2019年7月23日 8:23
    2019年7月19日 8:45