Condividi tramite

Configurazione di una sottoscrizione inizializzata dalla sorgente

  • Articolo

Le sottoscrizioni avviate dalla sorgente consentono di definire una sottoscrizione su un computer collettore di eventi senza definire i computer sorgente degli eventi, quindi è possibile configurare più computer sorgente degli eventi remoti (usando un'impostazione dei criteri di gruppo) per inoltrare gli eventi al computer collettore di eventi. Ciò si differenzia da una sottoscrizione iniziata dal raccoglitore perché, nel modello di sottoscrizione iniziata dal raccoglitore, quest'ultimo deve definire tutte le origini evento nella sottoscrizione di eventi.

Quando si configura una sottoscrizione avviata dall'origine, valutare se i computer origine eventi si trovano nello stesso dominio del computer raccoglitore di eventi. Le sezioni seguenti descrivono i passaggi da seguire quando le origini eventi si trovano nello stesso dominio oppure in un dominio diverso rispetto al computer raccoglitore eventi.

Nota

Qualsiasi computer in un dominio, locale o remoto, può essere un collettore di eventi. Tuttavia, quando si sceglie un collettore di eventi, è importante selezionare un computer topologicamente vicino a dove verrà generata la maggior parte degli eventi. L'invio di eventi a una macchina su una rete WAN in una posizione di rete distante può ridurre le prestazioni complessive e l'efficienza nella raccolta di eventi.

Configurazione di una sottoscrizione inizializzata dall'origine in cui le origini degli eventi sono situate nello stesso dominio del computer del raccoglitore eventi

Sia i computer sorgente dell'evento che il computer dell'agente di raccolta eventi devono essere configurati per creare una sottoscrizione avviata dall'origine.

Nota

Queste istruzioni presuppongono che l'utente disponga dell'accesso amministratore al controller di dominio windows Server che gestisce il dominio in cui il computer remoto o i computer verranno configurati per raccogliere gli eventi.

Configurazione del computer di origine degli eventi

  1. Esegui il seguente comando da un prompt dei comandi con privilegi elevati sul controller di dominio di Windows Server per configurare la Gestione remota di Windows.

    winrm qc -q

  2. Avviare criteri di gruppo eseguendo il comando seguente:

    %SYSTEMROOT%\System32\gpedit.msc

  3. Nel nodo Configurazione computer, espandere il nodo Modelli amministrativi, quindi espandere il nodo Componenti di Windows, quindi selezionare il nodo Inoltro eventi.

  4. Fare clic con il pulsante destro del mouse sull'impostazione SubscriptionManager e selezionare Proprietà. Abilitare l'impostazione SubscriptionManager e fare clic sul pulsante Mostra per aggiungere un indirizzo server nelle impostazioni. Aggiungere almeno un'impostazione che specifichi il computer raccoglitore eventi. La finestra Proprietà SubscriptionManager contiene una scheda Spiegazione che descrive la sintassi per l'impostazione.

  5. Dopo che l'impostazione SubscriptionManager è stata aggiunta, eseguire il seguente comando per assicurarsi che il criterio venga applicato:

    gpupdate /force

Configurazione del computer raccoglitore di eventi

  1. Eseguire il comando seguente da un prompt dei comandi con privilegi elevati sul controller di dominio di Windows Server per configurare la Gestione remota Windows:

    winrm qc -q

  2. Eseguire il comando seguente per configurare il servizio Event Collector:

    wecutil qc /q

  3. Crea un abbonamento avviato dall'origine. Questa operazione può essere eseguita a livello di codice, usando il Visualizzatore eventi o usando Wecutil.exe. Per altre informazioni su come creare la sottoscrizione a livello di codice, vedere l'esempio di codice in Creazione di una sottoscrizione avviata dall'origine. Se si usa Wecutil.exe, è necessario creare un file XML della sottoscrizione di eventi e usare il comando seguente:

    wecutil csconfigurationFile.xml

    Il codice XML seguente è un esempio del contenuto di un file di configurazione della sottoscrizione che crea una sottoscrizione avviata dall'origine per inoltrare gli eventi dal registro eventi dell'applicazione di un computer remoto al log ForwardedEvents nel computer dell'agente di raccolta eventi.

    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

    Nota

    Quando si crea una sottoscrizione avviata dall'origine, se AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList e DeniedSubjectList sono tutti vuoti, "O:NSG:NSD:(A;; GA;;; DC)(A;; GA;;; NS)" verrà usato come descrittore di sicurezza predefinito per AllowedSourceDomainComputers. Il descrittore predefinito concede ai membri del gruppo di dominio Domain Computers, nonché al gruppo di servizi di rete locale (per il server d'inoltro locale), la possibilità di generare eventi per questa sottoscrizione.

Per verificare che la sottoscrizione funzioni correttamente

  1. Sul computer di raccolta eventi, completare le procedure seguenti:

    1. Eseguire il comando seguente da un prompt dei comandi con privilegi elevati nel controller di dominio di Windows Server per ottenere lo stato di runtime della sottoscrizione:

      wecutil gr<subscriptionID>

    2. Verificare che l'origine dell'evento sia connessa. Potrebbe essere necessario attendere fino alla fine dell'intervallo di aggiornamento specificato nella politica dopo aver creato la sottoscrizione, affinché l'origine evento sia connessa.

    3. Eseguire il comando seguente per ottenere le informazioni sulla sottoscrizione:

      wecutil gs<subscriptionID>

    4. Ottieni il valore DeliveryMaxItems dalle informazioni sulla sottoscrizione.

  2. Sul computer sorgente degli eventi, innescare gli eventi che corrispondono alla query della sottoscrizione agli eventi. Il numero DeliveryMaxItems di eventi deve essere sollevato affinché gli eventi vengano inoltrati.

  3. Sul computer di raccolta eventi, verificare che gli eventi siano stati inoltrati al log ForwardedEvents o al log specificato nell'abbonamento.

Inoltro del log di sicurezza

Per poter inoltrare il log di sicurezza è necessario aggiungere l'account del Servizio di rete al gruppo Lettori EventLog.

Configurazione di una sottoscrizione avviata dall'origine in cui le origini degli eventi non si trovano nello stesso dominio del computer raccoglitore di eventi

Nota

Queste istruzioni presuppongono che l'utente disponga dell'accesso amministratore a un controller di dominio di Windows Server. In questo caso, poiché il computer o i computer dell'agente di raccolta eventi remoti non si trovano nel dominio gestito dal controller di dominio, è essenziale avviare un singolo client impostando Gestione remota Windows su "automatico" tramite Servizi (services.msc). In alternativa, è possibile eseguire "winrm quickconfig" in ogni client remoto.

Prima di creare la sottoscrizione, è necessario soddisfare i prerequisiti seguenti.

  1. Sul computer di raccolta eventi, esegui i comandi seguenti da un prompt dei comandi con privilegi elevati per configurare la Gestione remota Windows e il servizio Raccolta eventi.

    winrm qc -q

    wecutil qc /q

  2. Il computer dell'agente di raccolta deve avere un certificato di autenticazione server (certificato con scopo di autenticazione server) in un archivio certificati del computer locale.

  3. Nel computer di origine eventi eseguire il comando seguente per configurare Gestione remota Windows:

    winrm qc -q

  4. Il computer di origine deve avere un certificato di autenticazione client (certificato con scopo di autenticazione client) in un archivio certificati del computer locale.

  5. La porta 5986 viene aperta sul computer del raccoglitore di eventi. Per aprire questa porta, eseguire il comando :

    netsh firewall add portopening TCP 5986 "Winrm HTTPS Gestione Remota"

Requisiti dei certificati

  • È necessario installare un certificato di autenticazione del server nel computer dell'agente di raccolta eventi nell'archivio personale del computer locale. L'oggetto di questo certificato deve corrispondere al nome di dominio completo dell'agente di raccolta.

  • È necessario installare un certificato di autenticazione del client sui computer della Sorgente Evento nell'archivio personale del computer locale. L'oggetto di questo certificato deve corrispondere al nome di dominio completo del computer.

  • Se il certificato client è stato emesso da un'autorità di certificazione diversa da quella dell'agente di raccolta eventi, questi certificati radice e intermedi devono essere installati anche nell'agente di raccolta eventi.

  • Se il certificato client è stato emesso da un'autorità di certificazione intermedia e l'agente di raccolta esegue Windows 2012 o versione successiva, sarà necessario configurare la chiave del Registro di sistema seguente:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2

  • Verificare che sia il server che il client siano in grado di controllare correttamente lo stato di revoca in tutti i certificati. L'uso del comando certutil consente di risolvere eventuali errori.

Altre informazioni sono disponibili in questo articolo: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx

Configurare il listener nel collettore di eventi

  1. Impostare l'autenticazione del certificato con il comando seguente:

    winrm set winrm/config/service/auth '@{Certificate="true"}'

  2. Sul computer raccoglitore di eventi deve esistere un listener HTTPS WinRM con l'impronta digitale del certificato di autenticazione del server. Questa operazione può essere verificata con il comando seguente:

    winrm e winrm/config/listener

  3. Se il listener HTTPS non viene visualizzato o se l'impronta digitale del listener HTTPS non corrisponde a quella del certificato di autenticazione del server sul computer di raccolta, puoi eliminare il listener e crearne uno nuovo con l'impronta digitale corretta. Per eliminare il listener https, usare il comando seguente:

    winrm delete winrm/config/Listener?Address=*+Transport=HTTPS

    Per creare un nuovo listener, usare il comando seguente:

    winrm create winrm/config/Listener? Address=*+Transport=HTTPS '@{Hostname="<FQDN del collettore>"; CertificateThumbprint="<Impronta digitale del certificato di autenticazione del server>"}'

Configurare il mapping dei certificati nel Collettore di Eventi

  1. Creare un nuovo utente locale.

  2. Impostare questo nuovo utente come Amministratore locale sul collector.

  3. Creare la mappatura dei certificati usando un certificato presente nelle "Autorità di certificazione radice attendibili" o "Autorità di certificazione intermedie" del computer.

    Nota

    Si tratta del certificato delle autorità di certificazione radice o intermedia (CA) che ha emesso i certificati installati nei computer di Origine Evento (la CA immediatamente sopra il certificato nella catena di certificati):

    winrm create winrm/config/service/certmapping? Issuer=<Impronta digitale del certificato CA emittente>+Subject=*+URI=* '@{UserName="<nome utente>";Password="<password>"}' -remote:localhost

  4. Da un client usare il comando seguente per testare il listener e il mapping dei certificati:

    winrm g winrm/config -r:https://<FQDN dell'agente di raccolta eventi>:5986 -a:certificate -certificate:"<Impronta del certificato di autenticazione client>"

    Verrà restituita la configurazione WinRM del raccoglitore di eventi. Non procedere oltre questo passaggio se la configurazione non viene visualizzata.

    Cosa accade in questo passaggio?

    • Il cliente si connette al collettore di eventi e invia il certificato specificato.
    • Il raccoglitore di eventi cerca la CA emittente e verifica se esiste una mappatura di certificati corrispondente.
    • Agente di raccolta eventi convalida lo stato della catena di certificati client e delle revoche.
    • Se questi passaggi hanno esito positivo, l'autenticazione viene completata.

Nota

È possibile che venga visualizzato un errore di accesso negato che segnala il metodo di autenticazione, che potrebbe essere fuorviante. Per risolvere i problemi, controllare il log CAPI nel Raccoglitore di eventi.

  1. Elencare le voci di certmapping configurate con il comando : winrm enum winrm/config/service/certmapping

Nota

L'utente locale creato nel passaggio 1 non viene mai usato per rappresentare l'utente che si connette tramite l'autenticazione del certificato in uno scenario di inoltro eventlog e può essere eliminato in seguito. Se si prevede di usare l'autenticazione del certificato in uno scenario diverso, ad esempio Remote Powershell, non eliminare l'utente locale.

Configurazione del computer sorgente eventi

  1. Accedi con un account amministratore e apri l'Editor dei criteri di gruppo locali (gpedit.msc)

  2. Passare a Criteri del computer locale\Configurazione computer\Modelli amministrativi\Componenti di Windows\Inoltro eventi.

  3. Aprire la policy "Configurare l'indirizzo del server, l'intervallo di aggiornamento e l'autorità di certificazione di un Subscription Manager di destinazione".

  4. Abilitare il criterio e fare clic su SubscriptionManagers "Show..." bottone.

  5. Nella finestra SubscriptionManagers immettere la stringa seguente:

    Server=HTTPS://<FQDN del server di raccolta eventi>:5986/wsman/SubscriptionManager/WEC, Refresh=<l'intervallo di aggiornamento in secondi>,IssuerCA=<impronta digitale del certificato CA emittente>

  6. Esegui la seguente riga di comando per aggiornare le impostazioni dei criteri di gruppo locale: gpupdate /force

  7. Questi passaggi devono produrre l'evento 104 nel computer di origine Registri eventi e servizi\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational log con il messaggio seguente:

    "Il server d'inoltro si è connesso con successo al gestore degli abbonamenti all'indirizzo <FQDN>seguito dall'evento 100 con il messaggio: 'L'abbonamento <sub_name> è stato creato con successo'."

  8. Sul Raccoglitore di Eventi, lo stato del runtime della sottoscrizione mostrerà ora 1 computer attivo.

  9. Aprire il log ForwardedEvents sull'Event Collector e controllare se gli eventi sono stati inoltrati dai computer di origine.

Concedere l'accesso alla chiave privata del certificato client sull'origine dell'evento

  1. Aprire la console di gestione Certificati per macchina locale nel computer di origine degli eventi.
  2. Fare clic con il pulsante destro del mouse sul certificato client e quindi scegliere Gestisci chiavi private.
  3. Concedere l'autorizzazione di lettura all'utente NETWORK SERVICE.

Configurazione della sottoscrizione di eventi

  1. Aprire Visualizzatore eventi in Event Collector e passare al nodo Sottoscrizioni.
  2. Fare clic con il pulsante destro del mouse su Sottoscrizioni e scegliere "Crea sottoscrizione..."
  3. Assegnare un nome e una descrizione facoltativa per la nuova sottoscrizione.
  4. Selezionare l'opzione "Iniziato dal computer sorgente" e fare clic su "Seleziona gruppi di computer...".
  5. In Gruppi di computer fare clic su "Aggiungi computer non di dominio..." e digitare il nome host dell'origine dell'evento.
  6. Fare clic su "Aggiungi certificati..." e aggiungere il certificato dell'autorità di certificazione che rilascia i certificati client. È possibile fare clic su Visualizza certificato per convalidare il certificato.
  7. In Autorità di certificazione fare clic su OK per aggiungere il certificato.
  8. Terminata l'aggiunta dei computer, fare clic su OK.
  9. Tornare alle proprietà della sottoscrizione, fare clic in Seleziona eventi...
  10. Configurare il filtro per le query degli eventi specificando i livelli di evento, i log eventi o le origini eventi, gli ID evento e qualsiasi altra opzione di filtro.
  11. Tornare alle proprietà della sottoscrizione, fare clic su Avanzate...
  12. Scegliere una delle opzioni di ottimizzazione per la consegna degli eventi dall'evento di origine al Raccoglitore di Eventi oppure lasciare il valore predefinito Normal:
    1. ridurre al minimo la larghezza di banda: gli eventi verranno recapitati con una frequenza inferiore per risparmiare larghezza di banda.
    2. Ridurre al minimo la latenza: gli eventi verranno recapitati non appena si verificano per ridurre la latenza degli eventi.
  13. Impostare Protocollo su HTTPS e fare clic su OK.
  14. Fare clic su OK per creare la nuova sottoscrizione.
  15. Controllare lo stato di runtime della sottoscrizione facendo clic con il pulsante destro del mouse e scegliendo "Stato runtime"