Мне очень понравилась новая возможность по работе с журналами событий в Windows 2008/7/Vista, называемая Event Log forwarding (subscription — или подписка), которая основана на технологии WinRM. Данная функция позволяет вам получить все события со всех журналов с множества серверов без использования сторонних продуктов и настраивается все это в течении всего пары минут. Возможно, именно эта технология позволит вам отказаться от столь любимых многими системными администраторами Kiwi Syslog Viewer и Splunk.
Итак схема такая, у нас есть сервер Windows 2008, запущенный в качестве коллектора логов с одного или нескольких источников. В качестве подготовительной работы нужно выполнить следующие 3 шага:
На коллекторе логов в командной строке с правами администратора запустите следующую команду, которая запустит службу Windows Event Collector Service, измените тип ее запуска в автоматический (Automatically — Delayed Start) и включите канал ForwardedEvents, если он был отключен.
wecutil qc
На каждом из источников нужно активировать WinRM:
По умолчанию сервер-коллектор логов не может просто собирать информацию из журналов событий источников, вам придется добавить учетную запись компьютера-коллектора в локальные администраторы на все сервера-источники логов (в том случае, если сервер-источник работает под управлением 2008 R2, то достаточно добавить учетку коллектора в группу Event Log Readers)
Теперь мы должны создать подписки (Subscriptions) на сервер коллектор. Для чего зайдите на него, откройте консоль MMC Event Viewer, щелкните правой кнопкой мыши по Subscriptions и выберите Create Subscription:
Здесь вы можете выбрать несколько различных настроек.
При каждом добавлении коллектора, неплохо было бы проверить подключение:
Далее вы должны настроить фильтр, указав какие типы событий вы хотите получать (например, Errors и Warnings), также можно собирать события по конкретным номерам Event ID или по словам в описании события. Есть один нюанс: не выбирайте слишком много типов событий в одну подписку, анализировать этот журнал можно будет бесконечно :).
Расширенные настройки (Advanced settings) могут понадобиться, если вы хотите использовать нестандартный порт для WinRM, или захотите работать по протоколу HTTPS, или же оптимизировать сьор логов по медленным каналам WAN.
После нажатия OK подписка будет создана. Здесь вы можете щелкнуть правой кнопкой мыши по подписке и получить статус выполнения (Runtime Status), или перезапустить ее (Retry) если предыдущий запуск был неудачным. Обратите внимание, что даже если ваша подписка имеет зеленый значок, в процедуре сбора логов могут быть ошибки. Поэтому всегда проверяйте Runtime Status.
После начала работы подписки, вы сможете просматривать перенаправленные события. Имейте в виду, что если журналы очень большие, то их первичный сбор может занять некоторое время.
Конфигурацию можно посмотреть на вкладке Properties -> Subscriptions.
В том случае, если сбор логов не работает, сначала на сервере-источнике логов удостоверьтесь, что локальный файрвол настроен корректно и разрешает трафик WinRM.
Один раз, когда я добавил учетную запись сервера-коллектора в группу Event Log Readers, но не добавил ее локальные админы, была такая ошибка;
[WDS1.ad.local] – Error – Last retry time: 2010-09-28 16:46:22. Code (0×5): <f:ProviderFault provider=”Event Forwarding Plugin” path=”%systemroot%system32wevtfwd.dll” xmlns:f=”http://schemas.microsoft.com/wbem/wsman/1/wsmanfault”><t:ProviderError xmlns:t=”http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog”>Windows Event Forward Plugin failed to read events.</t:ProviderError></f:ProviderFault> Next retry time: 2010-09-28 16:51:22.
Я попробовал добавить учетку сервера в группу локальных админов, в результате появилась такая ошибка:
[WDS1.ad.local] – Error – Last retry time: 2010-09-28 16:43:18. Code (0×7A): The data area passed to a system call is too small. Next retry time: 2010-09-28 16:48:18.
Оказывается, я выбрал в фильтре слишком много журналов для сбора. Поправив фильтры так, чтобы они собирали чуть меньше информации, я победил эту ошибку.
Спасибо большое, пригодилось 🙂
Идея хорошая но морока с правами, чтобы получить журнал.
Что предпочтительнее — коллектор инициатор или источник?
Тут наверно все зависит от вашей инфраструктуры (размер, межсетевые экранаы, разделение полномочийи т.д.). Настройка коллектора инициатора проста, если есть несколько серверов, с которых нужно собирать события. В больших доменах лучше все-таки источник. В этом случае, проще один раз настроить GPO и группы серверов в AD. Добавление / удаление сервера в такой конфигурации гораздо проще.
уперся в ошибку 0x57 состояния выполнения.
1. Нужно добавить “Network Service” и аккаунт машины коллектора в группу “Event Log Users”
2. В политике “Manage auditing and security log» добавиь “Network Service” и аккаунт машины-коллектора на целевом сервере
с какой периодичностью собираются события с одного источника:?
Добрый день!
Возникает данная ошибка
Code (0x8033808F): The client could not start a valid listener to receive subscription events based on the specified input settings.
Добрый день.
Возможно не включен winrm вашей или на удаленной машине.
winrm enum winrm/config/listener
С сервера коллектора
C:\Windows\system32>winrm enum winrm/config/listener
Listener [Source=»GPO»]
Address = *
Transport = HTTP
Port = 5985
Hostname
Enabled = true
URLPrefix = wsman
CertificateThumbprint
ListeningOn = null
На удаленной машине
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.
C:\Windows\system32>winrm enum winrm/config/listener
Listener [Source=»GPO»]
Address = *
Transport = HTTP
Port = 5985
Hostname
Enabled = true
URLPrefix = wsman
CertificateThumbprint
ListeningOn = 10.101.1.12, 127.0.0.1
При добавлении collector initiated ошибка
Error — Last retry time: 21.03.2019 15:27:16. Code (0x5): Access is denied. Next retry time: 21.03.2019 15:47:16
У вас не сервере неправильно настроен WinRm. Смотрите
ListeningOn = null
. У вас он не слушает ни на одном интерефейсе.В политике WinRm нужно указать * или диапазон IP адресов: 10.0.0.1-10.255.255.255
Либо посмотрите значение IPv4Filter в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WinRM\Service
Смените на REG_SZ «10.0.0.1-10.255.255.255» или что там у вас
Упёрся в ошибку
Ошибка — Время последнего повтора: 26.11.2019 9:57:52. Код (0x138C): <f:ProviderFault provider="Event Forwarding Plugin" path="C:\Windows\system32\wevtfwd.dll"
На сервере учетная запись, от которой запускается сбор данных, добавлена в Администраторов и Читателей журнала событий. Отбор событий за последние 24 часа, всего один код событий.
Победить пока не получается.
Сам спросил — сам ответил 🙂 Решение — добавить «channel access permissions» для журнала безопасности.
https://serverfault.com/questions/763026/event-log-subscription-returns-error-code-0x138c
wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;s-1-5-20)
Спасибо тебе
добрый день, спасибо за статью!
2016 server тоже может быть таким коллектором логов с более старых ОС?
Не пробовал, но думаю будет работать.
А по поводу безопастного включения службы WINRM? Это все-таки дырка в системе..
Настроил, но такая проблема: у некоторых событий не отображается описание. Особенно Application, например приложение SecretNet Studio.
Сервер-коллектор собирает с разных серверов, поэтому ставить на него весь прикладной софт серверов-источников не представляется возможным.
Как можно попробовать решить проблему?
Добрый день!
Есть проблема с отправкой логов с самого коллектора. Т.е. на коллектор отправляют логи все серверы и пк успешно, кроме самого коллектора. Ошибка Access denied 5 в журнале форвардинга. Дескрипторов безопасности перепробовал много, никакие не помогают. На соседней независимой площадке такой проблемы нет. Есть мысли куда копать?
Подскажите, а отправлял кто-то логи из Windows на Syslog?
Пробовали решение NXLog, в целом гибкое и вполне успешно работает. Но под большим количеством сообщений поступающих в EventLog начинает пропускать события и отставать во времени.
Думал воспользоваться winlogbeat, но он вроде не умеет в Syslog отправлять.
Кто чем пользуется?
Посмотрите в сторону graylog+ Winlogbeat
https://winitpro.ru/index.php/2024/05/14/sbor-zhurnalov-sobytij-windows-i-ad-graylog/