Collecting Event logs–The Builtin way. Part2.

Prima parte o gasiti aici.

In postul de astazi o sa vedem cum putem seta Event Forwarding si WinRM via Group Policies.

Inainte de toate este nevoie sa setam collectorul si este de preferat ca acesta sa nu fie un domain controller (din experienta am observat numai probleme de configurare cu collectorul pus pe domain controller).

Incepem setand winrm-ul si pentru mai multa siguranta si wecutil qc pentru a seta starea serviciului collector.

winrm qc

wecutil qc

Acum diferenta intre ce am facut in primul articol este ca acum vom seta Source computer initiated in setarea subscriptiei.

Acum e nevoie sa rulati urmatoarea comanda pentru a vedea portul pe care asculta collectorul:

winrm enumerate winrm/config/listener

Notati portul, pentru ca va fi nevoie de el putin mai tarziu.

In exemplul meu o sa fac un GPO nou pe care o sa-l asignez containerului Domain Controllers si in felul acesta voi reusi sa consolidez/colectez evenimentele de pe domain controllere fara a fi nevoie sa configurez de mana ceva pe fiecare DC.

Nota: GPO-ul odata facut, poate fi link-at si la alte organizational unit-uri din domeniu.

In GPO e nevoie sa ne uitam in Computer configuration/Policies/Administrative templates/Windows components – Event Forwarding si Windows Remote Management (WinRM).

Prima data vom seta auto config-ul pentru WinRM. Atentie ca in scenariul meu consider ca infrastructura mea e trusted si permit accesul de la orice IP.

Nota: asta este cumva echivalentul lui winrm quickconfig.

Mai departe setam adresa collectorului.

Portul de mai jos este portul pe care l-am notat mai devreme.

Si daca totul a fost facut corect si nu v-a scapat nici un pas (sau nu am uitat eu sa va zic ceva) colectarea evenimentelor ar trebui sa mearga. Iar daca nu merge din prima, aveti putina rabdare sau rulati gpupdate /force si restartati serviciul winrm.

Rezultatul il puteti vedea mai jos:

One Response to “Collecting Event logs–The Builtin way. Part2.”