Централизованный аудит уже здесь, и это БЕСПЛАТНО!

Введение

Когда я говорил, проповедовал, обучал и писал об операционных системах Windows в течение последних 15 лет, за это время я услышал одну общую просьбу. «Как мне централизовать журналы, созданные в средстве просмотра событий с разных компьютеров?» Мой ответ всегда заключался в использовании стороннего продукта, поскольку решения Microsoft не поддерживают эту функцию. Однако с выпуском Windows Server 2008 и Windows Vista возможно централизованное ведение журнала. Прежде чем вы перестанете читать эту статью из-за того, что у вас не установлена Windows Server 2008 или Vista, прочтите ее! Корпорация Майкрософт разработала централизованное ведение журналов для отчетов на компьютеры с Windows Server 2008 или Vista, но также сделала его обратно совместимым с клиентами Windows Server 2003 и Windows XP. Правильно, пока у вас есть один компьютер с Windows Server 2008 ИЛИ Windows Vista, вы можете вести централизованное ведение журнала для своих компьютеров с Windows.

Требования и конфигурация для компьютера централизованного ведения журнала

Любой компьютер с Windows Server 2008 или Windows Vista может стать вашим централизованным компьютером для журналов. Это означает, что все журналы, которые вы настраиваете на своих компьютерах с Windows Server 2008, Windows Server 2003, Windows Vista или Windows XP, будут отправляться на этот централизованный компьютер журналов для универсального хранилища всех ключевых событий.

Если вы хотите, чтобы ваш компьютер с Windows Server 2008 или Vista хранил централизованный журнал, на самом деле не так уж много нужно сделать. Однако вам необходимо настроить компьютер для поддержки журнала; вы можете сделать это, выполнив несколько команд из командной строки с повышенными привилегиями.

Примечание:
Командная строка должна быть повышена, когда включен контроль учетных записей.

Первая команда, которую вам нужно выполнить, настроит удаленное управление на компьютере. Это следующая команда:

контроль качества winrm

Эта команда сгенерирует ответ, информирующий вас о том, что определенные задачи должны быть выполнены системой, и вам просто нужно подтвердить «Да», что вы хотите, чтобы они были выполнены. Сообщение можно увидеть на рисунке 1.

Примечание:
Если вы используете ключ -q в конце вашей команды, команда и действия будут выполняться автоматически и без вывода сообщений.

Рисунок 1: Настройка удаленного управления на компьютере с Windows Vista

После ввода Y для внесения изменений сразу же появятся результаты, указывающие на то, что действия были успешными.

Вторая команда настроит службу сборщика событий. Эта команда аналогична, но управляет службой сбора событий:

wecutil qc/q

Опять же, вы получите подтверждение того, что действие прошло успешно.

Требования и конфигурация для компьютера централизованного ведения журнала

Если вы используете Windows Server 2008 или Windows Vista в качестве исходного компьютера, вам нужно только запустить команду, чтобы подготовить компьютер к пересылке на компьютер с централизованным журналом. Это та же самая команда, которую вы использовали для централизованного компьютера, чтобы правильно настроить удаленное управление:

winrm qc -q

Если вы используете Windows Server 2003 или XP, вам потребуется загрузить и установить компонент Forwarding для удаленного управления операционными системами.

Примечание:
Прежде чем вы сможете правильно настроить переадресацию, необходимо установить пакет обновления 1 (SP1) для Windows Server 2003 и пакет обновления 2 (SP2) для Windows XP.

Вы можете скачать установочные биты здесь. После установки вы запустите ту же строку конфигурации удаленного управления:

winrm qc -q

Примечание:
Для выполнения этой настройки у вас должны быть административные учетные данные.

Проверить работоспособность конфигурации можно, запустив средство просмотра событий. Когда средство просмотра событий запущено, вы должны увидеть новый узел с именем Microsoft-Windows-Forwarding/Operational, как показано на рисунке 2.

Рисунок 2: Журнал переадресации Windows XP в средстве просмотра событий

Настройка подписки

Настройка подписок выполняется на централизованном лог-компьютере. Для этих шагов вам потребуется настроить следующее:

• Имя компьютера, с которого вы хотите собирать информацию
  
• Тип события (критическое, ошибка, предупреждение и т. д.)
  
• По журналу (система, приложение и т. д.)
  
• По источнику (Огромный список вариантов!)
  
• Идентификаторы событий (обычно не хотят собирать их все, поэтому перечислите их с запятыми между числами)
  
• Ключевые слова
  
• Пользователь или компьютер

Примечание:
Не все из них обязательны, но они доступны!

Ваш первый шаг — определить, с какого компьютера вы хотите собирать информацию. Это можно сделать, щелкнув правой кнопкой мыши узел «Подписки» в средстве просмотра событий и выбрав «Создать подписку». В окне «Свойства подписки» нажмите кнопку «Выбрать компьютеры», как показано на рис. 3.

Рис. 3. Диалоговое окно «Свойства подписки» позволяет настроить журналы для сбора

В диалоговом окне выбора компьютера вы можете добавить компьютеры домена в список компьютеров, с которых вы хотите собирать записи журнала. Это полезно, так как вы можете создать одну подписку для сбора похожих событий со многих компьютеров, для которых определен только один набор событий. У вас также есть опция Test, чтобы убедиться, что централизованный компьютер может видеть удаленный компьютер, с которого он собирает события, как показано на рисунке 4.

Рисунок 4. Вы можете проверить, правильно ли настроен компьютер, с которого вы собираете

После настройки компьютеров, с которых вы хотите собирать данные, вам нужно только настроить события и сведения о том, что вы хотите собирать. На рис. 5 показаны возможные варианты.

Рисунок 5: Каждая подписка позволяет вам очень подробно указать, что вы хотите собирать

После того, как вы настроите, какие события вы хотите собирать, исходя из множества доступных вам параметров, вам просто нужно дождаться, пока события будут собраны на исходном компьютере и отправлены на компьютер с централизованным журналом.

Просмотр собранных событий

Чтобы просмотреть собранные события на вашем компьютере с централизованным журналом, вам просто нужно перейти в средство просмотра событий. Там вы увидите узел в журналах Windows с именем Forwarded Events. Исходный компьютер настроен на отправку всех событий в это расположение. Конечно, вы можете настроить настраиваемые представления для разделения и организации ваших событий в другие настраиваемые журналы (что может быть полезно, если вы собираете информацию со многих компьютеров и собираете различные типы событий). На рис. 6 показан пример набора событий, которые передаются с компьютера с Windows XP на компьютер с Windows Server 2008.

Рисунок 6: События, собранные Windows XP и отправленные на компьютер с централизованным журналом Windows Server 2008

Резюме

Microsoft пришла на помощь, если вы отвечаете за управление и просмотр журналов событий. В Windows Server 2008 и Windows Vista есть новая технология, позволяющая создать централизованный компьютер для ведения журналов. После того, как вы настроили централизованный компьютер журнала, вам нужно только инициализировать компонент удаленного управления на исходном компьютере. Исходным компьютером может быть Windows XP с пакетом обновления 2 (SP2), Windows Server 2003 с пакетом обновления 1 (SP1), Windows Vista или Windows Server 2008. Подписки настраиваются на компьютере с централизованным журналом. Все, что вам нужно сделать, это указать, с каких компьютеров вы хотите собирать данные, а также какие события вы хотите получать. Что касается других компьютеров, вы просто просматриваете средство просмотра событий централизованного журнала компьютера, чтобы видеть события со всей сети во время их обслуживания.