Collecting Event logs–The Builtin way. Part 3.
In exemplele de pana acum probabil ca ati observat ca am exemplificat numai pe logurile din Application si System log.
Asta deoarece pentru a colecta logul Security e nevoie de un pas aditional. By default acesta este restrictionat si nu oricine poate citi logurile de aici. Prin documentatia de specialitate este specificat grupul Event Log Readers (Windows 2008 si mai sus) insa din experienta proprie nu am reusit sa citesc niciodata logul folosindu-ma de apartenenta la acest grup (din domeniu sau local).
Metoda pe care o sa o recomand poate fi folosita si pentru servere membre si pentru domain controllere.
Security Descriptor-ul pentru fiecare log este specificat in SDDL (Security Descriptior Definition Language) iar cei mai experimentati in AD probabil s-au mai lovit de SDDL si in alte cazuri. Cum sa folositi SDDL pentru a modifica permisiunile pe log-uri este specificat in detaliu aici:
http://support.microsoft.com/kb/323076
Cu mentiunea ca in Windows 2008 optiunea din GPO se regaseste in Computer Configuration/Policies/Administrative Templates/Windows Components/Event Log Service/Security/Log Access.
By default pe un server cu Windows 2008, permisiunile arata cam asa in SDDL (linia channelAccess):
Si folosind comanda wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20) putem modifica permisiunile in asa fel incat Network Service sa aiba permisiuni de read.
Imediat dupa rularea comenzii si dupa un restart al serviciului Windows Remote Management, evenimentele din log-ul security vor fi trimise catre collector:
Acum trebuie sa fiti foarte atenti la cum setati collectorul, pentru ca daca este setat pe “All Event IDs” atunci va colecta tot ce se afla in security log de pe sistemele abonate.
Iar clientii trimit din urma tot ce s-a strans in log-uri pana la data actuala, deci mare atentie la cum dimensionati logurile. Un domain controller abonat, poate creste logul de pe collector instant cu 100Mb.
Si cam atat pe astazi. Daca intampinati probleme in configurare, va astept cu intrebari.
Collecting Event logs–The Builtin way. Part 1
Collecting Event logs–The Builtin way. Part 2