Пересилання логів Windows це надпотужний механізм що дозволяє централізовано збирати логи з багатьох кінцевих точок під керуванням ОС сімейства Windows на одній машині. Замість того щоб дивитися на кожній точці окремо її записи про події, є змога їх переглядати централізовано, що зменшує час на пошук та усунення проблем у операційних системах.
У цьому контексті сервер Logsign здатен використати цей механізм, за рахунок того що Logsign є безагентним рішенням. Продукт дає можливість централізовано зібрати логи з джерел під керування різних операційних систем, відобразити зібрані логи у більш доступному вигляді та обробити отриману інформацію, виявивши події на які слід звернути увагу.
Із додаткових бонусів використання даного механізму можна виділити спрощену інтеграцію великою кількості робочих станцій Windows до системи Logsign. Умовно замість інтеграції кожної кінцевої точки окремо до системи, можна інтегрувати одну, яка буде надсилати логи від усіх інших кінцевих точок. Інтеграція робочих станцій до SIEM Logsign дає можливість відслідкувати підозрілі дії користувачів і не тільки.
Про те, як налаштувати пересилання логів та як інтегрувати колектора логів до системи Logsign дізнаєтесь далі у статті.
Налаштування пересилання логів Windows
Пересилання логів можна налаштовувати на кінцевих точках, які знаходяться у одній робочій групі або у спільному домені Windows. В залежності від варіанту налаштування можуть бути різними. Пересилання у робочій групі можна налаштувати лише в ручну на кожній кінцевій точці окремо. У випадку домену можна створити групову політику, в якій буде прописана адреса збирача та зазначені необхідні для передачі файлів логів сервіси, які будуть запущені при увімкненні кінцевої точки. Таким чином у домені при додаванні нової кінцевої точки її логи за рахунок групової політики будуть автоматично відправлятися збирачу.
Для кращого розуміння, як працює пересилання логів, у цій статті продемонструю як вручну налаштовується пересилання логів у робочій групі(Work Group), та зазначу різницю між налаштуванням у домені.
ПРИМІТКА! Більш детальну інформацію по налаштуванню пересилання логів на доменних комп’ютерах через групову політику можна знайти у статті вендора Logsign.
Ручне налаштування пересилання у робочій групі
Спершу необхідно переконатися що збирач логів має доступ до кінцевих точок(потенційно спільна мережа) та усі машини знаходяться в одній робочій групі. Для створення робочої групи достатньо на кожному комп’ютері вказати її назву(краще великими літерами).
Далі для роботи пересилання логів на кінцевій точці необхідно увімкнути сервіс Windows Remote Management(winrm), а на збирачі логів увімкнути Windows Event Collector(WEC). Для цього необхідно у консолі Windows PowerShell запущеної від імені адміністратора ввести команду winrm quickconfig або wecutil qc (скорочення quickconfig) відповідно до ролі точки. Цими командами можна швидко налаштувати цей сервіс та усі необхідні дозволи мережевого екрана. Після виконання цих команд у консолі мають висвітлитися повідомлення що сервіс налаштовано успішно.
У випадку робочої групи, на кінцевій точці необхідно обрати або створити локального користувача який матиме доступ до читання логів. Щоб надати користувачу необхідні права, його необхідно додати до локальної групи “Event Log Readers”. Додатково у читачі журналу можна додати локальний NETWORK SERVICE, для того щоб була можливість пересилати на збирач логи безпеки.
ПРИМІТКА! В якості користувача можна вказати і адміністратора, але задля безпеки краще створити звичайного користувача і надати йому права на читання логів.
На стороні збирача необхідно створити підписку – чітко зазначити з яких комп’ютерів, як отримувати логи і в яку категорію їх зберегти. Є два варіанти передачі логів у збирач. Перший, збирач сам заходить з певною регулярністю на кінцеву точку і збирає логи. Другий, кінцева точка самостійно регулярно відсилає логи на збирач. Обидва варіанти мають свої плюси та мінуси.
Перший підходить для невеликої кількості кінцевих точок, тому що постійні запити збирача на кінцеві точки створить на ньому навантаження.
Другий підходить для великої кількості кінцевих точок та саме домену, і тут декілька причин. Цей варіант підписки налаштовується лише за допомогою групової політики. Якщо політику налаштувати на домені, тоді усі підконтрольні домену комп’ютери почнуть відправляти логи на вказаний у політиці збирач. Також обов’язки надсилання логів рівномірно розподіляються між кінцевими точками, що не створює завеликого навантаження на збирач.
У цій статті буде показаний перший варіант передачі логів.
Для збирання логів необхідно вказати з яких кінцевих точок збирати логи, облікові записи які будуть використані для збору, які логи та в яку категорію зберігати записи.
Якщо збирач лише знаходиться у робочій групі то йому необхідно надати локальний обліковий запис точки, що і було зроблено. Для передачі логів можна використати протокол HTTP або HTTPS, якщо для останнього налаштувати сертифікацію. В залежності від обраного варіанта оптимізації доставки, збирач буде збирати нові логи кожні 15 хвилин, або кожні 30 секунд.
В кінці необхідно перевірити чи працює пересилання та сама підписка. для цього необхідно вибрати підписку і відкрити її властивості. Якщо у новому вікні не відображена помилка, це означає що підписка та пересилання працюють.
Впевнитись чи все працює можна через 15-20 хвилин після того як підписка почала роботу.
Ручне налаштування пересилання логів у випадку доменних кінцевих точок значно простіше. На кінцевій точці є можливість одразу вказати сервер збирач як читача логів. За рахунок цього обліковий запис збирача може зайти на будь яку кінцеву точку і зібрати логи. Завдяки цьому налаштування точок відбувається значно швидше та простіше.
Для того щоб Logsign отримав переслані логи краще та простіше всього використати безкоштовний NXLog Community. Більше про те як його налаштувати можна знайти у статті вендора Logsign.
Якщо коротко то NxLog – це мультиплатформений інструмент зі збирання та централізації логів. За допомогою нього є можливість надсилати логи методом syslog. Для його налаштування необхідно встановити відповідний агент, завантажити готовий файл .conf із статті, вказати у файлі IP адресу сервера Logsign та додати іще одне поле для надсилання пересланих логів.
Альтернативно можна відсилати лише переслані у систему логи. Для цього необхідно вказати у файлі декілька коротких рядків із статті про доменне пересилання і вказати адресу сервера логсайн.
SIEM система Logsign здатна централізовано збирати логи з кінцевих точок під управлінням різноманітних операційних систем та відображати їх у своїй консолі.
Пересилання логів Windows це потужний механізм, який можна використати для швидшої, простішої та/або автоматизованої інтеграції у SIEM Logsign кінцевих точок та/або робочих станцій під керуванням ОС Windows, що знаходяться у одному домені чи робочій групі.
У разі виникнення додаткових запитань, будь ласка, звертайтеся за електронною адресою sales@softico.ua або за телефоном +380 (44) 383 4410.