Мониторинг логов

Представим ситуацию – 5 серверов и пару десятков рабочих станций, а так же один человек, который должен за ними следить, управлять и решать возникающие проблемы. Довольно типичная ситуация. Обязательно должно быть средство для мониторинга серверов и рабочих станций. У Microsoft Windows есть средство ведения журналов событий – Event Viewer,но из-за разнообразия логов что-то найти становится все тяжелее даже на одном компьютере, что уж говорить про другие машины. Можно конечно использовать специализированные решения наподобие System Center Operations Manager или System Center Essentials, но это продукты, которые требуют дополнительных вложений, хотя и предоставляют больше возможностей.

Итак, как проводить мониторинг Windows Server, Windows XP/Vista?

В Windows Vista и Windows Server 2008 появилась возможность собирать события с удаленных компьютеров средством подписки на события.

Отправителем событий может быть компьютер под управлением Windows XP SP2-SP3, Windows Server 2003 (SP1, SP2), Windows Server 2003 R2, Windows Vista (SP1), Windows Server 2008, Windows Server 2008 R2, Windows 7; принимающим компьютером может быть только Windows Vista (SP1), Windows Server 2008, Windows Server 2008 R2, Windows 7. Для компьютеров c Windows XP и Windows 2003 необходимо установить компонент WS-Management.

Для работы необходимо настроить как пересылающий компьютер, так и принимающий.

Настройка пересылающего компьютера.

Как я уже писал, на компьютеры под управлением Windows XP и Windows 2003 необходимо установить компонент WS-Management затем из командной строки выполнить команду

Пересылка событий осуществляется по протоколу HTTP и HTTPS, поэтому надо включить исключение в брандмауэр Windows. После разрешения система выдает сообщение, что исключение включено.

clip_image004

Дополнительную информацию можно получить в HELP введя winrm help config

В Windows Server 2003 и последующих операционных системах существует локальная группа «Читатели журнала событий». В Windows XP sp2 такой группы не существует, поэтому доступ к данным доступен только для администраторов домена.

В Windows Vista, Windows Seven, Windows Server 2008 существует группа Event Log Readers (Читатели журнала событий). clip_image006в которую можно добавлять пользователя или компьютер, с которого будет разрешен доступ на чтения отчетов.

Настройка на Windows Vista, Windows Server 2008 идентична, кроме момента, что командную строку следует запустить с административными привилегиями

Настройка принимающего компьютера

Следует сказать то, что принимающим компьютером может быть машина с установленной Windows Server 2003 R2, Windows Vista, Windows Server 2008, Windows Seven, Windows Server 2008 R2.

Запускаем командную строку с административными привилегиями, выполняем команду wecutil qc

clip_image008

Теперь компьютер может выполнять роль сборщика логов с других машин.

Создание подписки.

На системе Windows Server 2003 R2, Windows Vista, Windows Server 2008, Windows Seven, Windows Server 2008 R2 открываем Event Viewer, идем в узел Subscriptions

clip_image010

Нажимаем create subscription, вводим имя подписки и описание (если конечно хотите; я его ввожу ибо сразу можно определить что за машина и что к ней относится)

Есть два вида оформления подписки: инициировано принимающим компьютером, и пересылающим. Логически разница понятна, но область применения немного разная.

Инициировано пересылающим ПК

clip_image012

Рассмотрим добавление подписки, где инициатором будет принимающий ПК, вводим имя компьютера и проверяем связь с ним. Если на компьютере не выполнялась команда winrm quickconfig то окно проверки связи выдаст ошибку

clip_image016

Если выполнялась, то сообщение будет следующим

clip_image018

Далее следует выбрать критерии событий, можем выбрать как по самому журналу, так и по источнику события.

clip_image020

В дополнительных настройках можно указать с какого аккаунта будет осуществлен доступ к удаленной машине.

clip_image022

Если на пересылающей машине в группе Event Log Reader была выбрана учетная запись не компьютера а пользователя, необходимо ввести данные этого пользователя

Так же есть три варианта доставки событий.

1. Normal (доставка осуществляется раз в 15 минут. Интервал можно изменить параметром wecutil ss имя подписки /cm:custom
wecutil ss имя подписки /hi:задержка в миллисекундах )

2. Minimize Bandwidth (доставляются события раз в 6 часов)

3. Minimize Latency (события доставляются раз в 30с)

clip_image024

Проверить статус подписки можно нажав на ней правой кнопкой и выбрав Runtime status

[XPSP2.test.local] — Active — : No additional status. – эта строка говорит, что ошибок в подключении к пересылающему компьютеру не обнаружено

Все логи по умолчанию будут доставлены в Forwarded Events, но место доставки можно выбрать в свойствах подписки

clip_image026

Проводить мониторинг Windows-платформ можно так же средствами Log-Parser, о которых можно прочитать на блоге Игоря Шаститко на сайте Компьютерного Обозрения и на сайте сообщества.

Удачного мониторинга и рабочих серверов!

Для более детального и гетерогенного сбора событий информационной безопасности, построения отчетов рекомендую использоваться специализированные системы, наподобии Quest InTrust


Источник: vladsamoy.wordpress.com