Zdalne zbieranie dzienników w systemach Windows i Linux

Każde przedsiębiorstwo musi zbierać i monitorować dane dzienników z urządzeń w swojej sieci, aby zapewnić bezpieczeństwo, rozwiązywać problemy operacyjne i przeprowadzać analizy kryminalistyczne zdarzeń zabezpieczeń. Pomaga w tym narzędzie do zarządzania dziennikami lub rozwiązanie SIEM. Niezależnie od użytego narzędzia, zbieranie dzienników do scentralizowanej lokalizacji jest trudniejsze niż się wydaje. Od skonfigurowania urządzeń do wysyłania danych dziennika do centralnego serwera, przez zapewnienie bezpieczeństwa dzienników w drodze, zbieranie dzienników jest tak samo ważne i trudne jak inne procesy zarządzania dziennikami.

Przeważnie istnieją dwie metody zbierania danych z dzienników: z wykorzystaniem agenta i bez wykorzystania agenta. Zbieranie dzienników z wykorzystaniem agenta wymaga zainstalowania w każdej maszynie agenta, który zbiera i przekazuje dane dzienników z urządzenia do centralnego serwera. Podczas zbierania danych dziennika z zabezpieczonej sieci stosuje się zbieranie dzienników oparte na agencie. W innych okolicznościach ta metoda nie jest preferowana, ponieważ jest trudna do administrowania. Przedsiębiorstwa preferują więc natywne przesyłanie dalej dzienników, a czasami także zdalne zbieranie dzienników.

Jeśli chodzi o urządzenia sieciowe, komputery z systemem Linux/Unix, dane dziennika systemowego mogą być przechwytywane za pomocą funkcji przesyłania dalej dziennika dostępnej w natywnej platformie. Jednak w przypadku zdalnego zbierania dzienników zdarzeń systemu Windows procedura jest nieco inna.

Na tej stronie opisano kroki potrzebne do zdalnego zbierania danych dzienników systemowych za pomocą serwera korzystającego z protokołu Syslog.

Jak zdalnie zbierać dzienniki za pomocą serwera korzystającego z protokołu Syslog?

Zdalne zbieranie dzienników jest dość prostym procesem składającym się z dwóch kroków: skonfigurowania zdalnego serwera, który będzie centralnie zbierał wszystkie dane dzienników oraz skonfigurowania urządzeń do wysyłania danych dzienników do zdalnego serwera.

Krok 1: Konfiguracja serwera zdalnego

Aby skonfigurować serwer korzystający z protokołu Syslog do zdalnego zbierania dzienników:

• Do pliku /etc/rsyslog.conf , znajdującego się w folderze /var/log serwera, należy dodać następujące elementy.

  $ModLoad imtcp.so

  $InputTCPServerRun 514

  Tutaj 514 odnosi się do numeru portu TCP, przez który serwer korzystający z protokołu Syslog odbiera dane dziennika.

• Utwórz zmienny szablon, aby zapewnić, że dzienniki zebrane z różnych hostów nie zostaną pomieszane. Dodaj następujące elementy do pliku /etc/rsyslog.conf file:

  $template

  DynamicFile,"/var/log/loghost/%HOSTNAME%/%syslogfacility-text%.log"

  *.* -?DynamicFile

• Dodaj poniższy wpis do pliku konfiguracyjnego /var/logrotate.d/ syslog , aby zapewnić, że nowe pliki dzienników będą częścią obiegu dzienników:

  /var/log/loghost/*/*.log

• Przypisz statyczny adres IP do serwera zdalnego. Pomaga to urządzeniom kontaktować się i stale wysyłać dane dziennika do zdalnego serwera.
• Upewnij się, że zapora sieciowa umożliwia dostęp do portu TCP 514, dodając następujące reguły:

  # systemctl restart rsyslog

  # firewall-cmd --add-port=514/udp --permanent

  # firewall-cmd --add-port=514/tcp --permanent

  # firewall-cmd --reload

Krok 2: Konfiguracja urządzeń korzystających z protokołu Syslog

• Do obszaru reguł w pliku /var/rsyslog.confdodaj następujące elementy

  *.* @@<IP address of the log server>:514

  Tutaj <adres IP serwera dzienników> odnosi się do statycznego adresu IP serwera korzystającego z protokołu Syslog, a 514 to numer portu TCP, przez który będą wysyłane dane dzienników.

Jak zdalnie zbierać dzienniki zdarzeń systemu Windows?

Istnieje wiele sposobów na zdalny dostęp i zbieranie dzienników zdarzeń systemu Windows.

• Używanie wywołań interfejsu API, które wykorzystują funkcję EvtOpenSession do ustanowienia zdalnego połączenia i wywołania funkcji dziennika zdarzeń.
• Nawiązywanie zdalnych sesji poprzez WMI i uruchamianie zadań WMI do zbierania dzienników zdarzeń.
• Zbieranie i dostęp do dzienników zdarzeń poprzez interfejs użytkownika podglądu zdarzeń na koncie usługi Active Directory z uprawnieniami do odczytu dzienników zdarzeń.

Wymagania wstępne do zdalnego zbierania dziennika zdarzeń systemu Windows:

Aby uzyskać dostęp do dzienników zdarzeń i zbierać je za pomocą interfejsu użytkownika podglądu zdarzeń, potrzebne jest konto usługi Active Directory z określonymi uprawnieniami do dostępu do dzienników zdarzeń systemu Windows. Uprawnienia te mogą być przyznane poprzez lokalne zasady zabezpieczeń lub obiekt zasad grupy (GPO) w domenie.

Poniżej przedstawiono wymagania wstępne, które należy spełnić, aby uzyskać zdalny dostęp i zebrać dzienniki zdarzeń systemu Windows.

Tworzenie kont usługi i nadawanie wymaganych uprawnień

• Utwórz konto usługi i skonfiguruj je na zdalnym module zbierającym dane. Inną opcją jest posiadanie konta na komputerze z modułem zbierającym dane, który ma odpowiedni dostęp, dzięki czemu można użyć zintegrowanego uwierzytelniania AD do zbierania dzienników.
• Dodaj konto do następujących wbudowanych grup domeny:
  • Czytniki dzienników zdarzeń
  • Rozproszeni użytkownicy COM
• Nadaj kontu usług uprawnienie „Zarządzaj inspekcjami i dziennikami zabezpieczeń”. Można to zrobić poprzez stworzenie GPO lub użycie lokalnych zasad zabezpieczeń.
  • Nadawanie uprawnień przy użyciu „lokalnych zasad zabezpieczeń”
    • Przejdź przez następujące elementy: Konfiguracja komputera >> Ustawienia systemu Windows >> Ustawienia zabezpieczeń >> Zasady lokalne >> Przypisywanie praw użytkownika
    • W sekcji „Przypisywanie praw użytkownika” przejdź do obszaru „Zarządzaj inspekcjami i dziennikami zabezpieczeń” i dodaj konto usługi do listy.
• Jeśli chcesz zdalnie zbierać dzienniki poprzez protokół WMI, nadaj temu kontu dostęp WMI, wykonując poniższe kroki:
  • Otwórz „wmimgmt” i kliknij prawym przyciskiem myszy -> Właściwości > Bezpieczeństwo -> Zaawansowane.
  • Zezwól kontu usługi na „Wykonywanie metod”, „Zapis dostawcy”, „Włącz konto”, „Włączanie zdalne”.
• Nadaj uprawnienia do rejestru dla tego konta.
  • Otwórz Edytor rejestru -> Komputer lokalny ->
    System\CurrentControlSet\ Services\eventlog\Security -> kliknij prawym przyciskiem myszy -> uprawnienia i dodaj konto usługi.
• Przypisz prawa DCOM i nadaj uprawnienia do c:\windows\system32\winevt dla konta usługi.

The service account is now able to read all the logs from any part of the domain through Event Viewer UI. Just a few more steps now.Konto usługi jest teraz w stanie odczytać wszystkie dzienniki z dowolnej części domeny poprzez interfejs użytkownika podglądu zdarzeń. Teraz zostało jeszcze tylko kilka kroków.

1. Włączenie połączeń: Edytuj reguły zapory systemu Windows na komputerze, na którym znajduje się konto usługi
   • Przejdź do zakładki „Reguły ruchu przychodzącego” i włącz opcję „Zdalne zarządzanie dziennikiem zdarzeń (RPC)”
   • Upewnij się, że protokół i profil są określone odpowiednio jako „TCP” i „Domena”
2. Włączenie usługi modułu zbierania danych dzienników systemu Windows: Musisz włączyć usługę modułu zbierania danych dzienników na zdalnym serwerze, aby mógł on odbierać pliki dziennika. Aby to zrobić, zaloguj się do zdalnego serwera jako administrator lokalny lub domeny i wykonaj następujące polecenie w cmd.exe:

wecutil qcin

3. Włączenie komputerów domenowych do zdalnego połączenia: Windows Remote Management (WRM) to protokół, który służy do wymiany informacji pomiędzy systemami w domenie. W przypadku zdalnego zbierania dzienników należy włączyć ten protokół na każdym z urządzeń, aby ułatwić wymianę danych dziennika. Aby włączyć protokół WRM, zaloguj się do komputerów źródłowych jako administrator lokalny lub domeny i wykonaj poniższe polecenie.

winrm quick config

4. Włączenie subskrypcji w systemie Windows: Subskrypcje definiują relację pomiędzy urządzeniem źródłowym a modułem zbierania danych, czyli zdalnym serwerem. Moduł zbierania danych może otrzymywać dane dziennika ze wszystkich urządzeń w sieci lub z określonego zestawu urządzeń. Aby włączyć subskrypcję komputerów domenowych na zdalnym komputerze z modułem zbierania danych, wykonaj poniższe kroki.
   • Przejdź do Podgląd zdarzeń >> Subskrypcje >> Akcje >> Utwórz subskrypcję.
   • W oknie dialogowym „Właściwości subskrypcji”,
     • określ nazwę subskrypcji
     • Podaj opis
     • W zakładce „Dzienniki docelowe” wybierz opcję „Zdarzenia przesyłane dalej”
     • Wybierz typ subskrypcji jako „Zainicjowane przez kolektor”, jeśli dzienniki są zbierane przez zdalny serwer z odpowiednich źródeł. W takim przypadku do zbierania dzienników potrzebne jest konto usług z odpowiednimi uprawnieniami. Szczegółowe informacje na temat tworzenia konta usługi i przypisywania uprawnień znajdują się w kroku 5. Jeśli wybierzesz „Zainicjowane przez obiekt źródłowy”, urządzenie źródłowe użyje natywnych technik przesyłania dalej dzienników do modułu zbierania danych dzienników.
     • W kolejnym oknie dialogowym kliknij opcję „Wybierz komputery” i „Dodaj komputery domenowe”.
     • Wpisz nazwę komputerów źródłowych, kliknij „Sprawdź nazwy” i jeśli zostaną znalezione, kliknij przycisk OK.
     • Kliknij przycisk OK, aby powrócić do „Właściwości subskrypcji”
   • Kliknij przycisk „Wybierz zdarzenia”, aby otworzyć filtr zapytania.
     • W liście rozwijanej „Zarejestrowano” określ przedział czasowy, w którym mają być zbierane dzienniki
     • Wybierz typ dzienników zdarzeń (krytyczne, ostrzeżenia, pełne, informacyjne i błędu), który chcesz zbierać
     • Z listy rozwijanej wybierz sposób zbierania dzienników ze źródła („Według dzienników” lub „Według źródeł”), w zależności od wymagań.
   • Kliknij przycisk „Zaawansowane ustawienia subskrypcji”, aby dostosować zbieranie dzienników. Tutaj można określić konto użytkownika, które może być używane do zdalnego zbierania danych dziennika, kryteria optymalizacji poziomu zdarzeń, aby zminimalizować przepustowość, opóźnienie lub wybrać normalną metodę zbierania dziennika, protokół i port używany do zbierania dziennika.