Google Groups
Subscribe to WinAdmin
Email:
Visit this group



Event ID:

RBL CHECK


«
»

Collecting Event logs–The Builtin way. Part 3.

By Andrei Ungureanu - Last updated: Tuesday, September 13, 2011 - Save & Share - Leave a Comment

In exemplele de pana acum probabil ca ati observat ca am exemplificat numai pe logurile din Application si System log.

Asta deoarece pentru a colecta logul Security e nevoie de un pas aditional. By default acesta este restrictionat si nu oricine poate citi logurile de aici. Prin documentatia de specialitate este specificat grupul Event Log Readers (Windows 2008 si mai sus) insa din experienta proprie nu am reusit sa citesc niciodata logul folosindu-ma de apartenenta la acest grup (din domeniu sau local).

Metoda pe care o sa o recomand poate fi folosita si pentru servere membre si pentru domain controllere.

Security Descriptor-ul pentru fiecare log este specificat in SDDL (Security Descriptior Definition Language) iar cei mai experimentati in AD probabil s-au mai lovit de SDDL si in alte cazuri. Cum sa folositi SDDL pentru a modifica permisiunile pe log-uri este specificat in detaliu aici:

http://support.microsoft.com/kb/323076

Cu mentiunea ca in Windows 2008 optiunea din GPO se regaseste in Computer Configuration/Policies/Administrative Templates/Windows Components/Event Log Service/Security/Log Access.

image

By default pe un server cu Windows 2008, permisiunile arata cam asa in SDDL (linia channelAccess):

image

Si folosind comanda wevtutil sl security /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20) putem modifica permisiunile in asa fel incat Network Service sa aiba permisiuni de read.

image

Imediat dupa rularea comenzii si dupa un restart al serviciului Windows Remote Management, evenimentele din log-ul security vor fi trimise catre collector:

image

Acum trebuie sa fiti foarte atenti la cum setati collectorul, pentru ca daca este setat pe “All Event IDs” atunci va colecta tot ce se afla in security log de pe sistemele abonate.

Iar clientii trimit din urma tot ce s-a strans in log-uri pana la data actuala, deci mare atentie la cum dimensionati logurile. Un domain controller abonat, poate creste logul de pe collector instant cu 100Mb.

Si cam atat pe astazi. Daca intampinati probleme in configurare, va astept cu intrebari.

 

Collecting Event logs–The Builtin way. Part 1

Collecting Event logs–The Builtin way. Part 2

Posted in Windows Server • Tags: , Top Of Page

Write a comment

Copyright © 2011 RO Windows Administrators Weblog