Cara mengumpulkan log dalam AD melalui Kebijakan Grup - Bagaimana-Untuk

Cara mengumpulkan log dalam AD melalui Kebijakan Grup

Mengumpulkan log dari node di jaringan Anda bisa rumit dan sulit, bahkan dengan produk keamanan dan event manager (SIEM) produk di tempat. Kebijakan Grup yang dijelaskan di sini akan meningkatkan proses pengumpulan acara dari node Windows Anda.

8 Langkah total

Langkah 1: Bangun Direktori Aktif

Minimal, lingkungan Anda akan membutuhkan DNS, Pengontrol Domain, mesin dengan penyimpanan untuk mengumpulkan acara, dan beberapa node untuk mengumpulkan acara.

Langkah 2: Buat 3 Langganan di Kolektor Acara

Pada mesin anggota * yang akan mengumpulkan acara, buka Peraga Peristiwa, klik kanan Langganan, dan klik Buat Langganan.

Jika ini meminta Anda untuk mengkonfigurasi layanan Kolektor Acara, klik Ya.

* tidak ada batasan teknis dalam menggunakan Vista, 8 / 8.1, atau 10 sebagai kolektor, tetapi server OS berperforma lebih baik ketika mengumpulkan banyak acara.

Langkah 3: Buat Langganan untuk log Sistem

Berikan Langganan nama yang bermakna, seperti "Sistem".

Pilih Sistem sebagai Tujuan log.

Select Source computer Initiated (karena GPO menginstruksikan sumber, bukan kolektor), kemudian grup komputer seperti Domain Computers.

Pilih semua peristiwa Kritis, Kesalahan, Peringatan, dan Informasi kapan saja dari log Sistem.

Langkah 4: Ulangi Langkah 3 untuk Aplikasi dan Keamanan

Pilih Aplikasi sebagai log Tujuan untuk Langganan Aplikasi.

Pilih Acara Teruskan sebagai log Tujuan untuk Langganan Keamanan; ini karena itu bertentangan dengan desain keamanan Windows untuk meneruskan peristiwa Keamanan / ke / log Keamanan mesin lain.

Langkah 5: Buat 2 Kebijakan Grup

Satu untuk node sumber, dan satu untuk Kolektor.

(jika saya bisa mengatur langkah-langkah Bagaimana-Ke dalam garis besar, saya akan. Maaf tentang itu)

Langkah 6: Mengkonfigurasi 4 pengaturan untuk kebijakan Sumber (simpul)

Keempat pengaturan ini mengonfigurasi layanan Kolektor Acara, layanan WinRM, menyediakan FQDN mesin kolektor, dan menambahkan LAYANAN JARINGAN ke grup keamanan Pembaca Log Event lokal.

Di Editor Manajemen Kebijakan Grup, edit pengaturan ini:

Konfigurasi Komputer> Kebijakan> Pengaturan Windows> Pengaturan Keamanan> Layanan Sistem> Kolektor Acara Windows> Pilih Tentukan dan Otomatis

Sama seperti sebelumnya untuk> Windows Remote Management> Define and Automatic

Konfigurasi Komputer> Kebijakan> Template Administratif> Komponen Windows> Penerusan Acara> Konfigurasikan target Manajer Langganan> Pilih Diaktifkan dan klik Tampilkan untuk menambahkan entri sebagai “Server =: 5985”

Konfigurasi Komputer> Kebijakan> Pengaturan Windows> Pengaturan Keamanan> Grup Terbatas> klik kanan Tambah Grup ...> pilih Pembaca Log Kejadian> tambahkan LAYANAN JARINGAN ke grup Pembaca Log Kejadian

Langkah 7: Konfigurasikan 3 pengaturan untuk kebijakan Kolektor

Juga di Editor Manajemen Kebijakan Grup:

Konfigurasi Komputer> Kebijakan> Pengaturan Windows> Pengaturan Keamanan> Layanan Sistem> Kolektor Acara Windows> Pilih Tentukan dan Otomatis

Sama seperti sebelumnya untuk> Windows Remote Management> Define and Automatic

Konfigurasi Komputer> Kebijakan> Template Administratif> Komponen Windows> Manajemen Jarak Jauh Windows> Layanan WinRM> Izinkan manajemen server jarak jauh melalui WinRM> atur Diaktifkan dan tambahkan * untuk filter IPv4:

Anda dapat mengonfigurasi pengaturan ini secara berbeda untuk tujuan keamanan, seperti membatasi WinRM ke IP atau rentang tertentu.

Langkah 8: Terapkan GPO ke unit masing-masing

Terapkan kebijakan ini ke server kolektor dan node sumber. Penggunaan Unit Organisasi untuk memisahkan dan mengelola objek-objek ini adalah praktik terbaik.

Setelah kebijakan diterapkan, mesin pengumpul akan memiliki acara dari mesin lain yang diurutkan ke dalam log Sistem, Aplikasi, dan Acara Terusan lokal. SIEM Anda kemudian dapat mencerna log ini dari kolektor.

Intro oleh Robert5205 (terima kasih).