Collecte de journaux à distance sur Windows et Linux
Toute entreprise doit collecter et surveiller les données des journaux provenant de périphériques de son réseau afin de garantir la sécurité, de résoudre les problèmes opérationnels et d'effectuer une analyse approfondie des incidents de sécurité. Pour cela, ils peuvent s'appuyer soit sur un outil de gestion des journaux soit sur une sSolution SIEM. Quel que soit l'outil utilisé, la collecte des journaux vers un emplacement centralisé est plus difficile qu'il n'y paraît. Qu'il s'agisse de configurer les appareils pour qu'ils envoient les données des journaux au serveur central ou de garantir la sécurité des journaux en transit, la collecte des journaux est aussi importante et difficile que tout autre processus de gestion des journaux.
Il existe principalement deux méthodes pour collecter les données des journaux : avec et sans agent. La collecte de journaux basée sur un agent nécessite l'installation d'un agent sur chaque machine qui collecte et transmet les données des journaux de l'appareil au serveur central. Lors de la collecte de données de journal à partir d'un réseau sécurisé, la collecte de journal basée sur les agents est utilisée. Dans d'autres circonstances, cette méthode n'est pas préférable car elle est difficile à administrer. Les entreprises préfèrent donc le transfert natif des journaux et parfois la collecte à distance des journaux.
Lorsqu'il s'agit de périphériques réseau, de machines Linux/Unix, les données syslog peuvent être capturées à l'aide de la fonction de transmission des journaux disponible dans la plate-forme native. Toutefois, pour la collecte à distance des journaux d'événements de Windows, la procédure est légèrement différente.
Cette page explique les étapes nécessaires pour collecter à distance les données syslog à l'aide d'un serveur Syslog.
Comment collecter les journaux à distance à l'aide d'un serveur Syslog ?
La collecte des syslogs à distance est un processus assez simple qui comporte deux étapes : la configuration du serveur distant qui collectera de manière centralisée toutes les données des journaux et la configuration des périphériques pour qu'ils envoient les données des journaux au serveur distant.
Étape 1 : Configuration du serveur distant
Pour configurer un serveur syslog afin de collecter les journaux à distance,
- Ajoutez les éléments suivants au fichier /etc/rsyslog.conf, dans le dossier /var/log du serveur.
$ModLoad imtcp.so
$InputTCPServerRun 514
Ici, 514 fait référence au numéro du port TCP par lequel le serveur syslog reçoit les données du journal.
- Créez un modèle variable pour vous assurer que les journaux collectés à partir de différents hôtes ne se mélangent pas. Ajoutez ce qui suit au fichier /etc/rsyslog.conf :
$template
DynamicFile,"/var/log/loghost/%HOSTNAME%/%syslogfacility-text%.log"
*.* -?DynamicFile
- Ajoutez l'entrée ci-dessous au fichier de configuration syslog /var/logrotate.d/ pour vous assurer que les nouveaux fichiers journaux font partie de la rotation des journaux :
- Attribuez une adresse IP statique au serveur distant. Cela permet aux périphériques d'entrer en contact et d'envoyer constamment les données du journal au serveur distant.
- Assurez-vous que votre pare-feu autorise l'accès au port TCP 514 en ajoutant les règles suivantes :
# systemctl restart rsyslog
# firewall-cmd --add-port=514/udp --permanent
# firewall-cmd --add-port=514/tcp --permanent
# firewall-cmd --reload
Étape 2 : Configurer les périphériques syslog
Ici, <adresse IP du serveur de journal> fait référence à l'adresse IP statique de votre serveur Syslog et 514 est le numéro du port TCP par lequel les données du log sont envoyées.
Comment collecter à distance les journaux d'événements de Windows ?
Il existe plusieurs façons d'accéder à distance aux journaux d'événements de Windows et de les collecter.
- Utilisation des appels API qui utilisent EvtOpenSession pour établir une connexion à distance et appeler les fonctions du journal des événements.
- Établir des sessions à distance via WMI et exécuter des tâches WMI pour collecter les journaux d'événements.
- Collecte et accès aux journaux d'événements par l'intermédiaire de l'interface utilisateur de l'Observateur d'événements sur un compte Active Directory ayant les autorisations de lire les journaux d'événements.
Pré-requis pour collecter à distance le journal des événements de Windows :
Pour accéder aux journaux d'événements et les collecter à l'aide de l'interface utilisateur de l'Observateur d'événements, vous devez disposer d'un compte de service Active Directory doté d’autorisations spécifiques pour accéder aux journaux d'événements Windows. Ces autorisations peuvent être accordées par le biais d'une stratégie de sécurité locale ou d'un objet de stratégie de groupe (GPO) dans le domaine.
Voici les étapes préalables que vous devez suivre pour accéder à distance aux journaux d'événements de Windows et les collecter.
Créer des comptes de service et fournir les autorisations requises
- Créez un compte de service et configurez-le sur le collecteur distant. Une autre option est d'avoir le compte sur le collecteur qui a un accès approprié afin que vous puissiez utiliser l'authentification AD intégrée pour la collecte de journaux.
- Ajoutez le compte aux groupes de domaine intégrés suivants :
- Lecteurs de journaux d'événements
- Utilisateurs de COM distribués
- Accordez au compte de service le privilège « Gérer l'audit et les journaux de sécurité ». Cela peut être fait en créant un GPO ou en utilisant la stratégie de sécurité locale.
- Accorder des privilèges à l'aide d'une « stratégie de sécurité locale »
- Naviguez à travers les éléments suivants : Configuration de l'ordinateur >> Paramètres Windows >> Paramètres de sécurité >> Stratégies locales >> Attribution de droits aux utilisateurs
- Sous Affectation des droits aux utilisateurs, naviguez jusqu'à Gérer les journaux d'audit et de sécurité et ajoutez le compte de service à la liste.
- Si vous souhaitez collecter des journaux à distance via le protocole WMI, donnez à ce compte un accès WMI en suivant les étapes suivantes :
- Ouvrez « wmimgmt » et faites un clic droit -> Propriétés > Sécurité -> Avancé.
- Autorisez le compte de service à « Exécuter des méthodes », « Écrire au fournisseur », « Activer le compte », « Activer à distance ».
- Donnez des autorisations de registre pour ce compte.
- Ouvrez Regedit -> Machine locale ->System\CurrentControlSet\ Services\eventlog\Security -> clic droit -> autorisations et ajoutez le compte de service.
- Attribuez des droits DCOM et accordez des autorisations sur c:\windows\system32\winevt pour le compte de service.
Le compte de service est désormais capable de lire tous les journaux de n'importe quelle partie du domaine via l'interface utilisateur de l’Observateur d'événements. Plus que quelques étapes maintenant.
- Permettre la connectivité : Modifiez les règles du pare-feu Windows sur la machine sur laquelle réside le compte de service
- Allez dans les règles entrantes et activez la gestion des journaux d'événements à distance (RPC)
- Assurez-vous que le protocole et le profil sont respectivement spécifiés comme « TCP » et « Domaine »
Activation du service collecteur de Windows : Vous devez activer le service collecteur sur le serveur distant pour qu'il reçoive les fichiers journaux. Pour ce faire, connectez-vous au serveur distant en tant qu'administrateur local ou de domaine et exécutez la commande suivante dans cmd. exe.Permettre aux ordinateurs du domaine de se connecter à distance : Windows Remote Management (WRM) est un protocole utilisé pour échanger des informations entre les systèmes du domaine. Pour la collecte de journaux à distance, vous devez activer ce protocole sur chacun des appareils afin de faciliter l'échange de données de journaux. Pour activer le protocole WRM, connectez-vous aux ordinateurs sources en tant qu'administrateur local ou de domaine et exécutez la commande suivante.Activation de l'abonnement sous Windows : Les abonnements définissent la relation entre le périphérique source et le collecteur, le serveur distant. Un collecteur peut recevoir les données des journaux de tous les appareils du réseau ou d'un ensemble d’appareils spécifique. Pour activer l'abonnement des ordinateurs du domaine sur la machine du collecteur de journaux à distance, suivez les étapes suivantes.- Allez dans l'Observateur d'événements >> Abonnements >> Actions >> Créer un abonnement.
- Dans la boîte de dialogue Propriétés de l'abonnement,
- Spécifiez le nom de l'abonnement
- Donnez la description
- Dans « Journaux de destination », sélectionnez « Événements transférés »
- Choisissez le type d'abonnement « Collecteur initié » si les journaux sont collectés par le serveur distant à partir des sources respectives. Dans ce cas, vous avez besoin d'un compte de service avec des privilèges appropriés pour collecter les journaux. Reportez-vous à l'étape 5 pour plus de détails sur la création du compte de service et l'attribution des autorisations. Si vous choisissez « Source initiée », le périphérique source utilisera les techniques de transfert des journaux natifs pour transmettre les journaux au collecteur.
- Cliquez sur « Sélectionner les ordinateurs » et « Ajouter les ordinateurs du domaine » dans la boîte de dialogue suivante.
- Entrez le nom des ordinateurs sources, cliquez sur « Vérifier les noms » et, si vous les trouvez, cliquez sur OK.
- Cliquez sur OK pour revenir aux « Propriétés de l'abonnement »
- Cliquez sur Sélectionner les événements pour ouvrir le filtre de requête.
- Dans la liste déroulante « Enregistré », spécifiez l'intervalle de temps auquel les journaux doivent être collectés
- Sélectionnez le type de journaux d'événements (critique, avertissement, détaillé, information et erreur) que vous souhaitez collecter
- Dans le menu déroulant, sélectionnez comment vous souhaitez collecter les journaux à partir de la source : « Par journal » ou « Par source » en fonction de vos besoins.
- Cliquez sur le bouton « Paramètres d'abonnement avancés » pour affiner votre collecte de données. Ici, vous pouvez spécifier le compte utilisateur qui peut être utilisé pour collecter les données du journal à distance, les critères d'optimisation du niveau d’événement pour minimiser la bande passante, la latence, ou choisir la méthode normale de collecte des journaux, le protocole et le port utilisés pour la collecte des journaux.
Collecter et surveiller efficacement les journaux à distance pour les systèmes Windows et Linux.
Get Your Free TrialAutres fonctionnalités
EventLog Analyzer offre des capacités de gestion des journaux, de monitoring d'intégrité de fichier et de corrélation d'événements en temps réel dans une console unique qui contribuent à répondre aux besoins de SIEM, à combattre les atteintes à la sécurité et à empêcher les violations de données.
Conformez-vous aux exigences rigoureuses des mandats réglementaires, à savoir PCI DSS, FISMA, HIPAA, etc., avec des rapports et des alertes prédéfinis. Personnalisez les rapports existants ou créez de nouveaux rapports pour répondre aux besoins de sécurité interne.
Gérez de façon centralisée les données du journal des événements à partir des appareils Windows, notamment les stations de travail, les serveurs et les serveurs Terminal Server pour répondre aux besoins d'audit. Combattez les atteintes à la sécurité grâce à des alertes en temps réel et à la corrélation d'événements.
Collectez et analysez les données Syslog des routeurs, commutateurs, pare-feu, identifiants/adresses IP, serveurs Linux/Unix, etc. Obtenez des rapports approfondis pour chaque événement de sécurité. Recevez des alertes en temps réel en cas d'anomalies et de dépassements.
Suivez les modifications cruciales des fichiers/dossiers confidentiels avec des alertes en temps réel. Obtenez des détails comme l'auteur de la modification, son objet, sa date et son origine avec des rapports prédéfinis.
Analysez les données de journal provenant de diverses sources dans le réseau. Détectez des anomalies, suivez les événements de sécurité critiques et contrôlez le comportement des utilisateurs avec des rapports prédéfinis, des tableaux de bord intuitifs et des alertes instantanées.