Partager via


Création d'un abonnement initié par une source

Les abonnements initiés par la source vous permettent de définir un abonnement sur un ordinateur collecteur d'événements sans définir les ordinateurs sources d'événements, puis plusieurs ordinateurs sources d'événements distants peuvent être configurés (à l'aide d'un paramètre de stratégie de groupe) pour rediriger les événements vers l'ordinateur collecteur d'événements. Cela diffère d'un abonnement initié par le collecteur car dans le modèle d'abonnement initié par le collecteur, le collecteur d'événements doit définir toutes les sources d'événements dans l'abonnement d'événements.

Lors de la mise en place d'un abonnement initié par la source, vérifiez si les ordinateurs sources d'événements se trouvent dans le même domaine que l'ordinateur collecteur d'événements. Les sections suivantes décrivent les étapes à suivre lorsque les sources d'événements se trouvent dans le même domaine ou non que l'ordinateur collecteur d'événements.

Remarque

Tout ordinateur d'un domaine, local ou distant, peut être collecteur d'événements. Cependant, lors du choix d'un collecteur d'événements, il est important de sélectionner une machine qui est topologiquement proche de l'endroit où la majorité des événements seront générés. L'envoi d'événements à une machine distante sur un réseau étendu peut réduire les performances globales et l'efficacité de la collecte d'événements.

Configuration d'un abonnement initié par la source lorsque les sources d'événements se trouvent dans le même domaine que l'ordinateur collecteur d'événements.

Les ordinateurs sources d'événements et l'ordinateur collecteur d'événements doivent tous deux être configurés pour mettre en place un abonnement initié par la source.

Remarque

Ces instructions supposent que vous disposez d'un accès administrateur au contrôleur de domaine Windows Server desservant le domaine dans lequel le ou les ordinateurs distants seront configurés pour collecter des événements.

Configuration de l'ordinateur source de l'événement

  1. Exécutez la commande suivante à partir d'une requête de commande à privilèges élevés sur le contrôleur de domaine Windows Server pour configurer la gestion à distance de Windows :

    winrm qc -q

  2. Lancez la stratégie de groupe en exécutant la commande suivante :

    %SYSTEMROOT%\System32\gpedit.msc

  3. Sous le nœud Configuration de l'ordinateur, développez le nœud Modèles d'administration, développez le nœud Composants Windows, puis sélectionnez le nœud Transfert d'événements.

  4. Cliquez avec le bouton droit de la souris sur le paramètre SubscriptionManager et sélectionnez Propriétés. Activez le paramètre SubscriptionManager et cliquez sur le bouton Afficher pour ajouter une adresse de serveur au paramètre. Ajoutez au moins un paramètre qui spécifie l'ordinateur collecteur d'événements La fenêtre Propriétés du Gestionnaire d'abonnement contient un onglet Expliquer qui décrit la syntaxe du paramètre.

  5. Une fois le paramètre SubscriptionManager ajouté, exécutez la commande suivante pour vous assurer que la stratégie est appliquée

    gpupdate /force

Configuration de l'ordinateur collecteur d'événements

  1. Exécutez la commande suivante à partir d'une requête de commande à privilèges élevés sur le contrôleur de domaine Windows Server pour configurer la gestion à distance de Windows :

    winrm qc -q

  2. Exécutez la commande suivante pour configurer le service Collecteur d'événements :

    wecutil qc /q

  3. Créez un abonnement à l'initiative de la source. Cette opération peut être effectuée par programme, en utilisant l'observateur d'événements, ou en utilisant Wecutil.exe. Pour plus d'informations sur la manière de créer l'abonnement par programme, consultez l'exemple de code dans Création d'un abonnement initié par la source. Si vous utilisez Wecutil.exe, vous devez créer un fichier XML d'abonnement aux événements et utiliser la commande suivante :

    wecutil cs configurationFile.xml

    Le fichier XML suivant est un exemple du contenu d'un fichier de configuration d'abonnement qui crée un abonnement initié par la source pour rediriger les événements du journal des événements de l'application d'un ordinateur distant vers le journal ForwardedEvents de l'ordinateur collecteur d'événements.

    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
        <SubscriptionId>SampleSISubscription</SubscriptionId>
        <SubscriptionType>SourceInitiated</SubscriptionType>
        <Description>Source Initiated Subscription Sample</Description>
        <Enabled>true</Enabled>
        <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>
    
        <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
        <ConfigurationMode>Custom</ConfigurationMode>
    
        <Delivery Mode="Push">
            <Batching>
                <MaxItems>1</MaxItems>
                <MaxLatencyTime>1000</MaxLatencyTime>
            </Batching>
            <PushSettings>
                <Heartbeat Interval="60000"/>
            </PushSettings>
        </Delivery>
    
        <Expires>2018-01-01T00:00:00.000Z</Expires>
    
        <Query>
            <![CDATA[
                <QueryList>
                    <Query Path="Application">
                        <Select>Event[System/EventID='999']</Select>
                    </Query>
                </QueryList>
            ]]>
        </Query>
    
        <ReadExistingEvents>true</ReadExistingEvents>
        <TransportName>http</TransportName>
        <ContentFormat>RenderedText</ContentFormat>
        <Locale Language="en-US"/>
        <LogFile>ForwardedEvents</LogFile>
        <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
        <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
    </Subscription>
    

    Remarque

    Lors de la création d'un abonnement initié par une source, si AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList et DeniedSubjectList sont tous vides, alors « O:NSG:NSD :(A;;GA;;;DC)(A;;GA;;;NS) » sera utilisé comme descripteur de sécurité par défaut pour AllowedSourceDomainComputers. Le descripteur par défaut accorde aux membres du groupe de domaine Ordinateurs de domaine, ainsi qu'au groupe Service réseau local (pour le redirecteur local), la possibilité de déclencher des événements pour cet abonnement.

Pour valider le bon fonctionnement de l'abonnement

  1. Sur l'ordinateur collecteur d'événements, effectuez les étapes suivantes :

    1. Exécutez la requête suivante à partir d'une invite de commande à privilèges élevés sur le contrôleur de domaine Windows Server pour obtenir l'état d'exécution de l'abonnement :

      wecutil gr <subscriptionID>

    2. Vérifiez que la source d'événements est connectée. Il se peut que vous deviez attendre que l'intervalle d'actualisation spécifié dans la stratégie soit terminé après la création de l'abonnement pour que la source d'événements soit connectée.

    3. Exécutez la commande suivante pour obtenir les informations relatives à l'abonnement :

      wecutil gs <subscriptionID>

    4. Obtenez la valeur DeliveryMaxItems à partir des informations d'abonnement.

  2. Sur l'ordinateur de la source d'événements, relevez les événements qui correspondent à la requête de l'abonnement aux événements. Le nombre d'événements DeliveryMaxItems doit être atteint pour que les événements soient redirigés.

  3. Sur l'ordinateur du collecteur d'événements, validez que les événements ont été transférés vers le journal ForwardedEvents ou vers le journal spécifié dans l'abonnement.

Transfert du journal de sécurité

Pour pouvoir transférer le journal de sécurité, vous devez ajouter le compte SERVICE RÉSEAU au groupe des lecteurs de journaux d'événements.

Mise en place d'un abonnement initié par la source lorsque les sources d'événements ne se trouvent pas dans le même domaine que le calculateur du collecteur d'événements.

Remarque

Ces instructions supposent que vous disposez d'un accès administrateur à un contrôleur de domaine Windows Server. Dans ce cas, comme le ou les ordinateurs collecteurs d'événements à distance ne se trouvent pas dans le domaine desservi par le contrôleur de domaine, il est indispensable de démarrer un client individuel en paramétrant Windows Remote Management sur « automatique » à l'aide des Services (services.msc). Vous pouvez également exécuter « winrm quickconfig » sur chaque client distant.

Les conditions suivantes doivent être remplies avant la création de l'abonnement.

  1. Sur l'ordinateur collecteur d'événements, exécutez les commandes suivantes à partir d'une requête de commande à privilèges élevés pour configurer la gestion à distance de Windows et le service Collecteur d'événements :

    winrm qc -q

    wecutil qc /q

  2. L'ordinateur collecteur doit disposer d'un certificat d'authentification de serveur (certificat à finalité d'authentification de serveur) dans un magasin de certificats de l'ordinateur local.

  3. Sur l'ordinateur source de l'événement, exécutez la commande suivante pour configurer la gestion à distance de Windows :

    winrm qc -q

  4. La machine source doit disposer d'un certificat d'authentification client (certificat à finalité d'authentification client) dans un magasin de certificats de l'ordinateur local.

  5. Le port 5986 est ouvert sur l'ordinateur du collecteur d'événements. Pour ouvrir ce port, exécutez la commande suivante :

    netsh firewall add portopening TCP 5986 "Winrm HTTPS Remote Management"

Exigences en matière de certification

  • Un certificat d'authentification du serveur doit être installé sur l'ordinateur Event Collector dans le magasin personnel de la machine locale. Le sujet de cette certification doit correspondre au FQDN du collecteur.

  • Un certificat d'authentification client doit être installé sur les ordinateurs Event Source dans le magasin personnel de la machine locale. Le sujet de cette certification doit correspondre au FQDN de l'ordinateur.

  • Si le certificat du client a été émis par une autorité de certification différente de celle du collecteur d'événements, ces certificats racine et intermédiaire doivent également être installés sur le collecteur d'événements.

  • Si le certificat du client a été émis par une autorité de certification intermédiaire et que le collecteur fonctionne sous Windows 2012 ou une version ultérieure, vous devrez configurer la clé de registre suivante :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2

  • Vérifiez que le serveur et le client sont en mesure de vérifier l'état de révocation de tous les certificats. L'utilisation de la commande certutil peut aider à résoudre les éventuelles erreurs.

Vous trouverez plus d'informations dans cet article : https://technet.microsoft.com/library/dn786429(v=ws.11).aspx

Configurer l'écouteur sur le collecteur d'événements

  1. Définissez l'authentification par certificat à l'aide de la commande suivante :

    winrm set winrm/config/service/auth @{Certificate="true"}

  2. Un listener WinRM HTTPS avec l'empreinte du certificat d'authentification du serveur doit exister sur l'ordinateur du collecteur d'événements. Vous pouvez le vérifier à l'aide de la commande suivante :

    winrm e winrm/config/listener

  3. Si vous ne voyez pas le collecteur HTTPS, ou si l'empreinte du collecteur HTTPS n'est pas la même que celle du certificat d'authentification du serveur sur l'ordinateur du collecteur, vous pouvez supprimer ce collecteur et en créer un nouveau avec l'empreinte correcte. Pour supprimer l'auditeur https, utilisez la commande suivante :

    winrm delete winrm/config/Listener?Address=*+Transport=HTTPS

    Pour créer un nouvel auditeur, utilisez la commande suivante :

    winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="<FQDN of the collector>";CertificateThumbprint="<Empreinte du certificat d'authentification du serveur>"}

Configurer le mappage des certificats sur le collecteur d'événements

  1. Créez un nouvel utilisateur local.

  2. Faites de ce nouvel utilisateur un administrateur local sur le collecteur.

  3. Créez le mappage de certificats à l'aide d'un certificat présent dans les « Autorités de certification racine de confiance » ou les « Autorités de certification intermédiaires » de la machine.

    Remarque

    Il s'agit du certificat des autorités de certification (AC) racine ou intermédiaire qui ont émis les certificats installés sur les ordinateurs sources d'événements (l'AC située immédiatement au-dessus du certificat dans la chaîne de certificats) :

    winrm create winrm/config/service/certmapping?Issuer=<Empreinte du certificat de l'autorité de certification émettrice>+Subject=*+URI=* @{UserName="<username>";Password="<password>"} -remote:localhost

  4. Depuis un client, utilisez la commande suivante pour tester l'auditeur et le mappage des certificats :

    winrm g winrm/config -r:https://<Event Collector FQDN>:5986 -a:certificate -certificate:"<Empreinte du certificat d'authentification du client>"

    Vous devriez obtenir la configuration WinRM du collecteur d'événements. Ne passez pas cette étape si la configuration n'est pas affichée.

    Que se passe-t-il à cette étape ?

    • Le client se connecte au collecteur d'événements et envoie le certificat spécifié.
    • Le collecteur d'événements recherche l'autorité de certification émettrice et vérifie s'il existe un mappage de certificats correspondant.
    • Le collecteur d'événements valide la chaîne de certificats du client et l'état des révocations.
    • Si ces étapes aboutissent, l'authentification est terminée.

Remarque

Vous risquez d'obtenir un message d'erreur « Accès refusé » se plaignant de la méthode d'authentification, ce qui peut être trompeur. Pour résoudre le problème, consultez le journal CAPI sur le collecteur d'événements.

  1. Dressez la liste des entrées de mappage de certificats configurées à l'aide de la commande : winrm enum winrm/config/service/certmapping

Remarque

L'utilisateur local créé à l'étape 1 n'est jamais utilisé pour usurper l'identité de l'utilisateur qui se connecte par le biais de l'authentification par certificat dans un scénario de transfert du journal des événements et peut être supprimé par la suite. Si vous prévoyez d'utiliser l'authentification par certificat dans un scénario différent, tel que Remote Powershell, ne supprimez pas l'utilisateur Local.

Configuration de l'ordinateur source de l'événement

  1. Connectez-vous avec un compte administrateur et ouvrez l'éditeur de stratégie de groupe local (gpedit.msc).

  2. Naviguez jusqu'à la stratégie de l'ordinateur local. Configuration de l'ordinateur. Modèles administratifs. Composants de Windows. Transfert d'événements.

  3. Ouvrez la stratégie « Configurer l'adresse du serveur, l'intervalle de rafraîchissement et l'autorité de certification de l'émetteur d'un gestionnaire d'abonnement cible ».

  4. Activez la stratégie et cliquez sur le bouton « Afficher... » des gestionnaires d'abonnements.

  5. Dans la fenêtre SubscriptionManagers, saisissez la chaîne suivante :

    Server=HTTPS://<FQDN of the Event Collector server>:5986/wsman/SubscriptionManager/WEC,Refresh=<Refresh interval in seconds>,IssuerCA=<Empreinte du certificat de l'autorité de certification émettrice>

  6. Exécutez la ligne de commande suivante pour actualiser les paramètres de la stratégie de groupe locale:Gpupdate /force

  7. Ces étapes devraient produire un événement 104 dans votre ordinateur source Event Viewer Applications and Services Logs\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational log avec le message suivant :

    « Le transfert s'est connecté avec succès au gestionnaire d'abonnement à l'adresse <FQDN> suivi de l'événement 100 avec le message : « Le <sub_name> de l'abonnement est créé avec succès ».

  8. Dans le collecteur d'événements, l'état d'exécution de l'abonnement indique maintenant 1 ordinateur actif.

  9. Ouvrez le journal ForwardedEvents sur le collecteur d'événements et vérifiez si les événements ont été transférés depuis les ordinateurs sources.

Accorder la permission sur la clé privée du certificat du client sur la source d'événement.

  1. Ouvrez la console de gestion des certificats pour la machine locale sur l'ordinateur source de l'événement.
  2. Cliquez avec le bouton droit de la souris sur le certificat du client, puis sur Gérer les clés privées.
  3. Accordez la permission de lecture à l'utilisateur NETWORK SERVICE.

Configuration de l'abonnement aux événements

  1. Ouvrez l'observateur d'événements dans le collecteur d'événements et accédez au nœud Abonnements.
  2. Cliquez avec le bouton droit de la souris sur Abonnements et choisissez « Créer un abonnement... »
  3. Donnez un nom et une description facultative au nouvel abonnement.
  4. Sélectionnez l'option « Ordinateur source initié » et cliquez sur « Sélectionner les groupes d'ordinateurs... ».
  5. Dans les groupes d'ordinateurs, cliquez sur « Ajouter des ordinateurs hors domaine... » et saisissez le nom d'hôte de la source de l'événement
  6. Cliquez sur « Ajouter des certificats... ». et ajoutez le certificat de l'autorité de certification qui émet les certificats du client. Vous pouvez cliquer sur Afficher le certificat pour valider le certificat.
  7. Dans Autorités de certification, cliquez sur OK pour ajouter le certificat.
  8. Lorsque vous avez fini d'ajouter des ordinateurs, cliquez sur OK.
  9. De retour aux Propriétés de l'abonnement, cliquez sur Sélectionner les événements...
  10. Configurez le filtre de requête d'événements en spécifiant le(s) niveau(x) d'événement, le(s) journal(s) ou la(les) source(s) d'événement, le(s) ID d'événement et toute autre option de filtrage.
  11. De retour aux Propriétés de l'abonnement, cliquez sur Avancé...
  12. Choisissez l'une des options d'optimisation pour la livraison des événements de l'événement source au collecteur d'événements, ou laissez la valeur par défaut Normal :
    1. Minimiser la bande passante : les événements seront diffusés moins fréquemment afin d'économiser la bande passante.
    2. Minimisez le temps de latence : Les événements sont diffusés dès qu'ils se produisent afin de réduire le temps de latence.
  13. Remplacez le protocole par HTTPS et cliquez sur OK.
  14. Cliquez sur OK pour créer le nouvel abonnement.
  15. Vérifiez l'état d'exécution de l'abonnement en cliquant avec le bouton droit de la souris et en choisissant « État d'exécution »