Remote-Protokollsammlung unter Windows und Linux

Jedes Unternehmen muss die Protokolldaten der Geräte im Netzwerk sammeln und überwachen, um die Sicherheit zu gewährleisten, Probleme im Betrieb zu beheben und Sicherheitsvorfälle forensisch zu analysieren. Dazu verlassen sie sich entweder auf ein Tool zur Protokollverwaltung oder auf eine SIEM-Lösung Unabhängig vom verwendeten Tool ist es schwieriger als erwartet, Protokolle an einem zentralen Speicherort zu sammeln. Von der Konfiguration der Geräte zur Übermittlung der Protokolldaten an einen zentralen Server, wobei die Sicherheit bei der Übertragung sichergestellt werden muss – die Protokollsammlung ist genauso wichtig und kompliziert, wie alle anderen Prozesse der Protokollverwaltung.

Hauptsächlich gibt es zwei Methoden zur Sammlung von Protokolldaten: agentenbasiert und agentenlos. Die agentenbasierte Protokollsammlung erfordert die Installation eines Agenten auf allen Geräten, um die Protokolldaten zu sammeln und vom Gerät an den zentralen Server weiterzuleiten. Bei gesicherten Netzwerken kommt die agentenbasierte Protokollsammlung zum Einsatz. Unter anderen Umständen wird diese Methode nicht bevorzugt, da die Verwaltung schwierig ist. Unternehmen bevorzugen also die native Protokollweiterleitung und greifen manchmal auf die Remote-Protokollsammlung zurück.

Wenn es um Netzwerkgeräte mit Linux/Unix geht, können die SysLog-Dateien über die in der nativen Plattform integrierte Protokollweiterleitung abgerufen werden. Unter Windows funktioniert die Remote-Sammlung von Ereignisprotokollen aber ein wenig anders.

Diese Seite erklärt Schritt-für-Schritt, wie Sie SysLog-Daten aus der Ferne über einen SysLog-Server sammeln können.

Wie funktioniert die Remote-Protokollsammlung mit einem SysLog-Server?

Das Sammeln von SysLogs aus der Ferne ist ein echt einfacher Prozess, der aus zwei Schritten besteht: Zunächst wird der Remote-Server konfiguriert, auf dem alle Protokolldaten zentral gesammelt werden; dann müssen die Geräte so eingerichtet werden, dass sie die Protokolldaten an den Remote-Server senden.

Schritt 1: Remote-Server konfigurieren

So konfigurieren Sie einen SysLog-Server für die Remote-Protokollsammlung:

• Hängen Sie auf dem Server im Verzeichnis /var/log das Folgende an die Datei /etc/rsyslog.conf an.

  $ModLoad imtcp.so

  $InputTCPServerRun 514

  Die Zahl 514 ist die Nummer des TCP-Ports, durch den der SysLog-Server die Protokolldaten empfängt.

• Erstellen Sie eine Variablenvorlage, damit die von verschiedenen Hosts gesammelten Protokolle nicht durcheinandergeraten. Hängen Sie das Folgende an die Datei /etc/rsyslog.conf an:

  $template

  DynamicFile,"/var/log/loghost/%HOSTNAME%/%syslogfacility-text%.log"

  *.* -?DynamicFile

• Fügen Sie den nachfolgenden Eintrag an die Konfigurationsdatei /var/logrotate.d/ syslog an, damit die neuen Protokolldateien Teil der Protokollrotation werden:

  /var/log/loghost/*/*.log

• Weisen Sie dem Remote-Server eine statische IP-Adresse zu. Dies hilft den Geräten, den Kontakt herzustellen und die Protokolldaten konstant an den Remote-Server zu übertragen.
• Achten Sie darauf, dass Ihre Firewall den Zugriff auf TCP-Port 514 zulässt, indem Sie die folgenden Regeln hinzufügen:

  # systemctl restart rsyslog

  # firewall-cmd --add-port=514/udp --permanent

  # firewall-cmd --add-port=514/tcp --permanent

  # firewall-cmd --reload

Schritt 2: Konfigurieren der SysLog-Geräte

• Fügen Sie das Folgende an den Abschnitt „Regeln“ der Datei/var/rsyslog.conffile

  *.* @@<IP address of the log server>:514

  Hier steht, <IP address of the log server> für die statische IP-Adresse des SysLog-Servers, und 514 für den TCP-Port, durch den die Protokolldaten übermittelt werden.

Wie lassen sich Windows-Ereignisprotokolle aus der Ferne sammeln?

Es gibt mehrere Möglichkeiten für den Remote-Zugriff und die Sammlung von Windows-Ereignisprotokollen aus der Ferne.

• Sie können API-Aufrufe mit EvtOpenSession verwenden, um eine Remote-Verbindung herzustellen und Ereignisprotokollfunktionen aufzurufen.
• Richten Sie Remote-Sitzungen über WMI ein und führen Sie WMI-Aufgaben aus, um die Ereignisprotokolle zu sammeln.
• Verwenden Sie Event Viewer UI über ein Active-Directory-Konto mit Leseberechtigung, um Ereignisprotokolle zu sammeln und auf diese zuzugreifen.

Voraussetzungen zur Sammlung von Windows-Ereignisprotokollen aus der Ferne:

Um Ereignisprotokolle per Event Viewer UI zu sammeln bzw. darauf zuzugreifen, benötigen Sie ein Active-Directory-Konto mit den nötigen Berechtigungen zum Zugriff auf Windows-Ereignisprotokolle. Diese Berechtigungen können über lokale Sicherheitsrichtlinien oder Gruppenrichtlinienobjekte (GPO) in der Domäne gewährt werden.

Nachfolgend finden Sie einige Schritte, die zunächst ausgeführt werden müssen, wenn Sie Windows-Ereignisprotokolle aus der Ferne sammeln bzw. auf diese zugreifen möchten.

Erstellen von Service-Konten und Bereitstellung der nötigen Berechtigungen

• Erstellen eines Service-Kontos und entsprechende Konfiguration auf dem Remote-Sammler. Eine weitere Option wäre es, ein Konto auf dem Sammlergerät zu verwenden, dass über ordnungsgemäßen Zugriff verfügt, sodass Sie die integrierte AD-Authentifizierung für die Protokollsammlung verwenden können.
• Fügen Sie das Konto zu den folgenden vorgefertigten Domänengruppen hinzu:
  • Ereignisprotokoll-Leser
  • Verteilte COM-Benutzer
• Geben Sie dem Servicekonto die Berechtigung „Auditing und Sicherheitsprotokolle verwalten“. Dazu können Sie entweder eine GPO erstellen oder die lokale Sicherheitsrichtlinie verwenden.
  • Erteilen von Berechtigungen über die „Globale Sicherheitsrichtlinie“
    • Navigieren Sie zum Folgenden: Computer-Konfiguration >> Windows-Einstellungen >> Sicherheitseinstellungen >> Lokale Richtlinien >> Zuweisen von Benutzerrechten
    • Navigieren Sie unter „Zuweisen von Benutzerrechten“ zu „Auditing und Sicherheitsprotokolle verwalten“ und fügen Sie das Service-Konto zur Liste hinzu.
• Wenn Sie Protokolle aus der Ferne über das WMI-Protokoll abrufen möchten, müssen Sie diesem Konto folgendermaßen den WMI-Zugriff gewähren:
  • Öffnen Sie „wmimgmt“ und klicken Sie mit der rechten Maustaste -> Eigenschaften > Sicherheit -> Erweitert.
  • Gestatten Sie dem Service-Konto das Folgende: „Methoden ausführen“, „Anbieter schreiben“, „Konto aktivieren“ und „Remote aktivieren“.
• Erteilen Sie dem Konto außerdem Registrierungsberechtigungen.
  • Öffnen Sie Regedit -> Local machine ->
    System\CurrentControlSet\ Services\eventlog\Security -> Rechtsklick -> Berechtigungen und fügen Sie dort das Service-Konto hinzu.
• Weisen Sie DCOM-Rechte zu und erteilen Sie dem Service-Konto Berechtigungen für c:\windows\system32\winevt.

Das Service-Konto kann dann alle Protokolle aus allen Teilen der Domäne über die Event Viewer UI einlesen. Jetzt fehlen nur noch ein paar Schritte.

1. Konnektivität aktivieren: Bearbeiten Sie die Regeln der Windows-Firewall auf dem Gerät, auf dem sich das Service-Konto befindet
   • Navigieren Sie zu den Inbound-Regeln und aktivieren Sie die Remote-Ereignisprotokollverwaltung (RCP)
   • Achten Sie darauf, dass Protokoll und Profil jeweils als „TCP“ und „Domäne“ spezifiziert wurden
2. Aktivieren des Windows Collector Service: Sie müssen den Sammler-Service auf dem Remote-Server aktivieren, damit dieser die Protokolldateien empfangen kann. Melden Sie sich daher als lokaler Administrator oder Domänenadministrator beim Remote-Server an und führen Sie den folgenden Befehl in cmd.exe aus.

wecutil qcin

3. Gestatten der Remote-Verbindung auf Domänencomputern:  Windows Remote Management (WRM) ist ein Protokoll, dass zum Informationsaustausch zwischen Systemen in einer Domäne verwendet wird. Für die Remote-Protokollsammlung müssen Sie dieses Protokoll auf jedem der Geräte aktivieren, um den Datenaustausch zu ermöglichen. Um das WRM-Protokoll zu aktivieren, melden Sie sich als lokaler Administrator oder Domänenadministrator bei den Quellencomputern an und führen Sie den folgenden Befehl aus.

winrm quick config

4. So aktivieren Sie Abonnements unter Windows: Abonnements regeln die Beziehung zwischen dem Quellgerät und dem Sammler, also dem Remote-Server. Ein Sammler (oder Collector) kann Protokolldaten von allen Geräten im Netzwerk empfangen, oder nur von einem bestimmten Satz der Geräte. Um Abonnements der Domänencomputer auf dem Sammlergerät für die Remote-Protokolle, führen Sie die folgenden Schritte aus.
   • Navigieren Sie zu Event Viewer >> Abonnements >> Aktionen >> Abonnement erstellen.
   • Führen Sie im Dialogfeld „Abonnement-Eigenschaften“ die folgenden Schritte aus.
     • Geben Sie den Namen des Abonnements an
     • Bitte angeben
     • Wählen Sie unter „Zielprotokolle“ die Option „Weitergeleitete Ereignisse“ aus
     • Wählen Sie „Sammler initiiert“ als Abonnement-Typ aus, wenn die Protokolle vom Remote-Server von den jeweiligen Quellen gesammelt werden. In diesem Fall benötigen Sie ein Service-Konto mit den nötigen Berechtigungen zum Sammeln der Protokolle. Unter Schritt 5 finden Sie weitere Informationen zum Erstellen des Service-Kontos und zum Zuweisen der Berechtigungen. Wenn Sie „Quelle initiiert“ auswählen, verwendet das Quellengerät die native Protokollweiterleitung, um die Protokolle an den Sammler zu übertragen.
     • Klicken Sie auf „Computer auswählen“ und dann im nachfolgenden Dialogfeld auf „Domänencomputer hinzufügen“.
     • Geben Sie den Namen der Quellencomputer ein, klicken Sie auf „Namen überprüfen“ und falls sie gefunden werden, klicken Sie auf „OK“.
     • Klicken Sie auf „OK“, um zu „Abonnementeigenschaften“ zurückzukehren
   • Klicken Sie auf „Ereignisse auswählen“, um den Abfragefilter zu öffnen.
     • Geben Sie im Dropdown-Menü „Protokolliert“ das Zeitintervall an, zu dem die Protokolle gesammelt werden sollen
     • Wählen Sie den Typ der Ereignisprotokolle aus, die Sie sammeln möchten – Kritisch, Warnung, Wortreich, Informationen und Fehler
     • Im Dropdown-Menü können Sie nach Bedarf entscheiden, wie die Protokolle von der Quelle abgerufen werden sollen – „Nach Protokoll“ oder „Nach Quelle“.
   • Klicken Sie auf die Schaltfläche „Erweiterte Abonnementeinstellungen“, um nähere Details zu Ihrer Protokollsammlung festzulegen. Hier können Sie das Benutzerkonto einrichten, dass zur Sammlung der Protokolldaten aus der Ferne verwendet werden soll, Kriterien für die Ereignis-Ebenenoptimierung festlegen und die normale Methode, das Protokoll und den Port für die Protokollsammlung auswählen.