Настройка централизованного получения событий с устройств Windows с помощью службы Windows Event Collector

Служба Windows Event Collector позволяет централизованно получать данные о событиях на серверах и рабочих станциях под управлением ОС Windows. С помощью службы Windows Event Collector вы можете подписаться на события, которые регистрируются на удаленных устройствах.

Вы можете настроить следующие типы подписок на события:

• Source-initiated subscriptions. Удаленные устройства отправляют данные о событиях на сервер Windows Event Collector, адрес которого указывается в групповой политике. Подробнее о процедуре настройки подписки см. в разделе Настройка передачи данных с сервера источника событий.
• Collector-initiated subscriptions. Сервер Windows Event Collector подключается к удаленным устройствам и самостоятельно забирает события из локальных журналов. Подробнее о процедуре настройки подписки см. в разделе Настройка сервиса получения событий Windows.

Настройка передачи данных с сервера источника событий

Вы можете получать информацию о событиях на серверах и рабочих станциях, настроив передачу данных с удаленных устройств на сервер Windows Event Collector.

Предварительная подготовка

1. Проверьте, что служба Windows Remote Management настроена на сервере источника событий, выполнив следующую команду в консоли PowerShell:

   winrm get winrm/config

   Если служба Windows Remote Management не настроена, инициализируйте ее, выполнив следующую команду:

   winrm quickconfig

2. Если сервер источника событий является контроллером домена, откройте доступ по сети к журналам Windows, выполнив следующую команду в консоли PowerShell, запущенной от имени администратора:

   wevtutil set-log security /ca:’O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)

   Проверьте наличие доступа, выполнив следующую команду:

   wevtutil get-log security

Настройка брандмауэра сервера источника событий

Для того чтобы сервер Windows Event Collector мог получать записи журналов Windows, требуется открыть порты для входящих соединений на сервере источника событий.

Чтобы открыть порты для входящих соединений:

1. На сервере источника событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос wf.msc и нажмите OK.

   Откроется окно Монитор брандмауэра Защитника Windows в режиме повышенной безопасности.

3. Перейдите в раздел Правила для входящих подключений и в панели Действия нажмите Создать правило.

   Откроется Мастер создания правила для нового входящего пользователя.

4. На шаге Тип правила выберите Для порта.
5. На шаге Протоколы и порты в качестве протокола выберите Протокол TCP. В поле Определенные локальные порты укажите номера портов:
   • 5985 (для доступа по HTTP)
   • 5986 (для доступа по HTTPS)

   Вы можете указать один из портов или оба.

6. На шаге Действие выберите Разрешить подключение (выбрано по умолчанию).
7. На шаге Профиль снимите флажки Частный и Публичный.
8. На шаге Имя укажите имя правила для нового входящего подключения и нажмите Готово.

Настройка передачи данных с сервера источника событий завершена.

Сервер Windows Event Collector должен обладать правами для чтения журналов Windows на сервере источника событий. Права могут быть предоставлены как учетной записи сервера Windows Event Collector, так и специальной пользовательской учетной записи. Подробнее о предоставлении прав см. в разделе Предоставление прав пользователю для просмотра журнала событий Windows.

Настройка сервиса получения событий Windows

Сервер Windows Event Collector может самостоятельно подключаться к устройствам и забирать данные о событиях любого уровня важности.

Чтобы настроить получение данных о событиях сервером Windows Event Collector:

1. На сервере-источнике событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
2. В открывшемся окне введите запрос services.msc и нажмите OK.

   Откроется окно Службы.

3. В списке служб найдите службу Сборщик событий Windows и запустите ее.
4. Откройте оснастку Просмотр событий, выполнив следующие действия:
   1. Откройте окно Выполнить, нажав комбинацию клавиш Win+R.
   2. В открывшемся окне введите запрос eventvwr и нажмите OK.
5. Перейдите в раздел Подписки и в панели Действия нажмите Создать подписку.
6. В открывшемся окне Свойства подписки задайте имя и описание подписки, а также следующие параметры:
   1. В поле Конечный журнал выберите из списка Перенаправленные события.
   2. В разделе Тип подписки и исходные компьютеры нажмите на кнопку Выбрать компьютеры.
   3. В открывшемся окне Компьютеры нажмите на кнопку Добавить доменный компьютер.

      Откроется окно Выбор: "Компьютер".

   4. В поле Введите имена выбираемых объектов (примеры) перечислите имена устройств, с которых вы хотите получать информацию о событиях. Нажмите ОК.
   5. В окне Компьютеры проверьте список устройств, с которых сервер Windows Event Collector будет забирать данные о событиях и нажмите ОК.
   6. В окне Свойства подписки в поле Собираемые события нажмите на кнопку Выбрать события.
   7. В открывшемся окне Фильтр запроса укажите, как часто и какие данные о событиях на устройствах вы хотите получать.
   8. При необходимости в поле <Все коды событий> перечислите коды событий, информацию о которых вы хотите или не хотите получать. Нажмите ОК.
7. Если вы хотите использовать специальную учетную запись для просмотра данных о событиях, выполните следующие действия:
   1. В окне Свойства подписки нажмите на кнопку Дополнительно.
   2. В открывшемся окне Дополнительные параметры подписки в настройках учетной записи пользователя выберите Определенный пользователь.
   3. Нажмите на кнопку Пользователь и пароль и задайте учетные данные выбранного пользователя.

Настройка сервиса получения событий завершена.

Чтобы проверить, что настройка выполнена правильно и данные о событиях поступают на сервер Windows Event Collector,

в оснастке Просмотр событий перейдите в раздел Просмотр событий (Локальный) → Журналы Windows → Перенаправленные события.