Vous êtes sur la page 1sur 13

Centralisation des journaux

d’évènements Windows (v1.14)

Tutorial conçu et rédigé par Michel de CREVOISIER – 01/10/2016

SOURCES
Configuration du transfert de logs :
http://www.vkernel.ro/blog/how-to-configure-windows-event-log-forwarding
http://zenshaze.com/wp/?p=57
http://blog.backslasher.net/windows-event-collection.html
https://www.petri.com/configure-event-log-forwarding-windows-server-2012-r2

Traitement et surveillance des évènements :


http://joshuadlewis.blogspot.co.at/2014/10/advanced-threat-detection-with-sysmon_74.html
http://blog.backslasher.net/parsing-event-log-subscription-runtime-status.html

Commande Wecutil.exe :
https://msdn.microsoft.com/en-us/library/bb736545(v=vs.85).aspx
https://technet.microsoft.com/en-us/library/cc753183(v=ws.11).aspx
https://msdn.microsoft.com/en-us/library/aa384372(v=vs.85).aspx

Autres solutions de collecte de logs :


https://blog.profitbricks.com/top-47-log-management-tools/

1
INDEX

SOURCES ................................................................................................................................................. 1
INDEX ...................................................................................................................................................... 2
1. « Collector mode »............................................................................................................................ 3
1.1 Prérequis................................................................................................................................... 3
1.2 Création d’une souscription........................................................................................................ 5
1.3 Vérification................................................................................................................................ 7
2. « Source mode »............................................................................................................................... 8
2.1 Configuration du gestionnaire de souscription............................................................................. 8
2.2 Configuration de WinRM ............................................................................................................ 9
2.3 Création d’une souscription...................................................................................................... 10
3. Optimisations et vérifications ......................................................................................................... 11
3.1 Wecutil ................................................................................................................................... 11
3.2 Commandes ............................................................................................................................ 11
4. Log de sécurité................................................................................................................................ 12
4.1 En local ................................................................................................................................... 12
4.2 Via GPO................................................................................................................................... 12
5. Messages d’erreurs......................................................................................................................... 13
5.1 The WS Management service cannot process the request because the XML is invalid .................. 13
5.2 Access is denied....................................................................................................................... 13
5.3 WinRM service is not listening .............................................................. Erreur ! Signet non défini.
5.4 Inactive ............................................................................................... Erreur ! Signet non défini.
Conclusion ......................................................................................................... Erreur ! Signet non défini.

2
1. « Collector mode »
Dans ce mode de fonctionnement, le serveur « collecteur » va se connecter auprès de chacun des
serveurs indiqués via le service WinRM afin de récupérer les journaux d’évènements demandés.

1.1Prérequis

1.1.1 Configuration du pare-feu

Créez une GPO afin d’activer les règles de pare-feu suivantes et appliquez-là aux serveurs concernés :
 « Windows Remote Management »
 « Remote Event Log Management »
 « Remote Event Monitor »

1.1.2 Configuration des services

Complétez la GPO afin de démarrer automatiquement les services « Windows Event Collector » et
« Windows Remote Management » sur l’ensemble de vos serveurs :

Vous pouvez également démarrer le service « Windows Event Collector » manuellement : wecutil qc

3
1.1.3 Autorisation d‘accès distante aux logs

Autorisez votre serveur de logs (« collector ») à se connecter au journal d’évènements de tous vos
serveurs. Pour cela nous allons utiliser une GPO qui nous permettra de « pousser » un groupe avec
les droits d’accès nécessaires. Pour cela :
 Créez un groupe AD nommé « SG_Logs_Access »
 Ajoutez dans ce groupe le compte ordinateur du serveur en charge de collecter les logs :

 Créez une GPO de type « Restricted group » :

 Ajoutez « SG_Logs_Access » dans le groupe local « Event logs readers » :

 Redémarrez le serveur « collecteur » pour prendre en compte son appartenance au groupe


 Exécutez un gpupdate /force sur vos serveurs cibles pour appliquer la GPO
 Vérifiez sur vos serveurs cibles que le groupe a bien été rajouté

4
1.2Création d’une souscription

Veuillez maintenant procéder à la création d’une souscription :

 Indiquez un nom et une description :

 Dans Select Computers, sélectionnez le serveur dont vous souhaitez collecter les logs :

5
 Testez la connectivité du serveur de log vers votre serveur distant :

 Dans Select Events, sélectionnez le type d’évènement que vous souhaitez collecter :

 Dans Advanced, assurez-vous de bien sélectionner l’option Machine account puis définissez
la fréquence de collecte des logs (source). Vous avez le choix entre les options suivantes :
o Normal : les logs sont rapatriés par groupe de 5 chaque 15 minutes
o Minimize bandwidth : les logs sont envoyés chaque 6 heures
o Minimize latency : les logs sont envoyés chaque 30 secondes
o Custom : cf. point 5

6
1.3Vérification

Après 15min maximum, vous devriez voir apparaître sur votre serveur les logs des serveurs distants
(section « Forwarded Event » par défaut).

Vous pouvez également générer un message de log personnalisés à des fins de test :
eventcreate /id 999 /t error /l application /d “Error test event”

Enfin, vous pouvez vérifier que la connexion entre votre serveur distant et le serveur de logs est
bien établie en exécutant la commande ci-dessous :

7
2. « Source mode »
Dans ce mode, nous indiquons via GPO aux serveurs « sources » quel serveur contacter pour la
transmission des logs (source).

2.1Configuration du gestionnaire de souscription

Créez une GPO afin d’indiquer la cible de souscription. Pour cela naviguez dans :
Computer Configuration > Policies > Administrative Templates > Windows Components > Event
Forwarding > Configure target subscription manager

Renseignez le chemin d’accès au serveur de logs :


server=http://<Event Collector FQDN>:5985/wsman/SubscriptionManager/WEC

A titre d’information, vous pouvez vérifier que la GPO a bien été appliquée en consultant la clef de
registre ci-dessous sur un des serveurs concernés :

8
2.2Configuration de WinRM

2.2.1 Ajout d’un « hôte de confiance »

Configurez ensuite le « WinRM Client » via GPO afin d’indiquer comme Trusted Hosts le serveur de
logs. Sans cela, les clients ne pourront pas établir de connexion vers ce dernier :
Computer Configuration > Policies > Administrative Templates > Windows Components > Windows
Remote management > WinRM Client

2.2.2 Autorisation de connexion via WinRM

Configurerez ensuite le « WinRM Service » via GPO afin de mettre ce dernier en « écoute
permanente ». Vous pouvez indiquer l’IP du serveur de log ou bien mettre « * » (sans les « ») :
Computer Configuration > Policies > Administrative Templates > Windows Components > Windows
Remote management > WinRM Service

9
2.3Création d’une souscription

 Créez un groupe Active Directory nommé « SG_Server_Log_ToCollect » et ajoutez les serveurs


dont vous souhaitez voir les logs rapatriés
 Redémarrez les serveurs ajoutés pour prendre en compte la nouvelle appartenance
 Dans la console « Event Viewer » créez une nouvelle souscription

Ajoutez le groupe SG_Server_Log_ToCollect :

10
3. Optimisations et vérifications
3.1Wecutil

Utilisez wecutil.exe afin de modifier les options avancées de rapatriement des logs :
wecutil gs "FS01 logs normal"

Utilisez les paramètres ci-dessous afin d’accélérer le rapatriement des logs (source) :
wecutil ss "FS01 logs normal" /cm:custom /hi:10000 /dmlt:5000 /dmi:15
/hi:<Heartbeat>
/dmlt:<Deliverytime> : temps (ms) maximum avant remise des éléments
/dmi:<Deliverymax> : nombre d’éléments maximum envoyés par requête

3.2Commandes
Ci-dessous des exemples de commandes vous permettant de diagnostiquer et vérifier le bon
fonctionnement du système de collecte de log ainsi que l’état des « listerner » :
winrm enumerate winrm/config/listener
winrm get winrm/config
winrm id -r:<vm target>
Test-WSMan -ComputerName
Get-ChildItem WSMan:\Localhost\listener
Wecutil gs <subscription>

11
4. Log de sécurité
Par défaut les logs de sécurité ne sont pas inclus dans les logs collectés. Vous devez pour cela ajouter
le compte « Network service » dans le groupe « Event Readers » de la machine cible. Cette action
peut être réalisée manuellement sur le serveur ou via GPO. A noter que les « Restricted groups » ne
peuvent pas être utilisés dans cette situation étant donné que le compte « Network service » est
propre à chaque machine.

4.1En local

Ajoutez le compte « Network Service » dans le groupe « Event Readers » manuellement et


redémarrez le serveur :

4.2Via GPO

Ajoutez le compte « Network Service » dans « Event Readers » via GPO, allez dans :
Preferences > Control Panel > Local Users and Groups puis New Local Group:

Pour terminer, redémarrez le serveur.

12
5. Messages d’erreurs
5.1The WS Management service cannot process the request because the XML is
invalid

Il m’a été impossible de sélectionner l’option Minimize latency en raison du message ci-dessous :

Solution : utilisez l’utilitaire du point 3.1

5.2Access is denied

En mode « collector », les serveurs indiquent un « access denied » :

Solution : Vérifiez que vous avez bien appliqué le point 1.1.3 et que vous avez redémarré le serveur
de logs pour la prise en compte du nouveau groupe d’appartenance.

N’hésitez pas à m’envoyer vos commentaires ou retours à l’adresse suivante :


m.decrevoisier A-R-0-B-A-5 outlook . com

Soyez-en d’ores et déjà remercié


13

Vous aimerez peut-être aussi