В настоящее время я создаю прототип установки, в которой Windows Server 2008 настроен как центральный экземпляр журнала для клиентов Windows XP и Windows 7 через пересылку событий, инициированную источником. Все компьютеры находятся в одном домене.
Настроил все согласно эта статья DevCenter, но из-за проблем с предоставленным xml для конфигурации журналирования я просто создал новое абонемент (инициирован источником), поместил в группу «компьютеры домена» и просто добавил в него все события. Результирующий XML выглядит так:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*</Select>
<Select Path="Security">*</Select>
<Select Path="Setup">*</Select>
<Select Path="System">*</Select>
</Query>
</QueryList>
Как видите, я хочу регистрировать все события от всех регистраторов событий. Однако при оценке журналов на сервере журналов все события из потока журналов безопасности не перенаправляются в центральный экземпляр журналирования (например, при попытке запустить программу от имени другого пользователя и вводить неправильный пароль). Другие потоки журналов, такие как система или приложение, работают отлично. Я проработал валидационную часть статьи, не обнаружив никаких проблем. Пока что я только что протестировал клиент Windows 7, поскольку в Windows XP по умолчанию не установлена пересылка событий.
Любые намеки на то, что я делаю не так?
Вероятно, проблема с разрешениями в журнале событий безопасности.
Попробуйте добавить учетную запись компьютера-сборщика в группу администраторов на одном из исходных компьютеров, чтобы определить, решает ли это проблему.
Обратите внимание, что в Windows 2008 и Windows Vista / 7 есть новая группа «Читатели журнала событий», которая упрощает предоставление такого уровня доступа.
Возможно, атрибут Path в блоке Query фильтрует его. Без него должно работать:
<QueryList>
<Query Id="0">
<Select Path="Application">*</Select>
<Select Path="Security">*</Select>
<Select Path="Setup">*</Select>
<Select Path="System">*</Select>
</Query>
</QueryList>
Для Windows Vista, 7 и 2008:
Служба Windows-Eventcollector (wecsvc) на исходных компьютерах, которая перенаправляет события на компьютеры-сборщики, если вы используете подписку, инициированную источником, работает как учетная запись «Сетевая служба». Но учетная запись сетевой службы не имеет доступа к журналу событий безопасности. Локальная группа «Читатели журнала событий» имеет доступ ко всем журналам. Это означает, что на каждом исходном компьютере вам необходимо добавить учетную запись «Сетевая служба» в локальную группу «Читатели журнала событий», чтобы служба Windows-Eventcollector имела доступ к журналу событий безопасности и могла пересылать его на компьютер-сборщик. (s).
Используя SDDL (язык определения дескрипторов безопасности), вы также можете переопределить разрешения для разных журналов событий с помощью wevtutil, но это более сложно, что означает, что вы можете легко что-то сломать или вызвать нежелательные эффекты, если не прочитаете это и внимательно сформулируйте SDDL, прежде чем что-либо делать.
Включено ли ведение журнала безопасности на рабочих станциях? Если нет, то переслать будет нечего.
Мы просто следовали этому руководству и, как и вы, ничего не добились, пока не добавили делегированную учетную запись для сбора журналов событий администраторам домена, и мы больше не в руинах.
Следующий шаг, чтобы найти более безопасный способ сделать это!
Вся суть учетной записи локальной сетевой службы в том, что она не имеют повышенные привилегии в локальной системе, а другие приложения и службы зависят от правильной конфигурации этой учетной записи. Просто посмотрите на консоль сервисов и отсортируйте по Войти как.
Возможно, было бы лучше создать другую учетную запись специально для этой цели и изменить конфигурацию службы сборщика журналов Windows для работы под этой новой учетной записью.