آموزش متمرکز کردن لاگهای شبکه : راه اندازی Event Forwarding دومین
Event Forwarding چیست؟ حتی اگر مدت کوتاهی هست که پا به عرصه مدیریت شبکه گذاشته اید حتما به بررسی کنترل های امنیتی برخورده اید، یکی از راهکارهای امنیتی Auditing است ، بطور کلی Auditing پروسه ای است که بواسطه آن رایانه ها به گونه ای میگردند که در مقابل رخدادهای امنیتی واکنش نشان داده و فعالیتهای انجام شده را ثبت و ضبط می نماید ، شما در Group policy ویندوز میتوانید مشخص کنید که از چه رخدادهایی لاگ برداری شود و نتیجه آن را در کنسولEvent viewer در ویندوز قابل مشاهده است .
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
زمانی که شما وارد کنسول Event viewer میشوید در سمت چپ با راست کلیک بر روی Event viewer (Local) و انتخاب گزینه Connect another computer میتوانید به کامپیوترهای دیگر در شبکه خود وصل شده و Eventهای آن را مشاهده کنید که البته نیازمند به دسترسیهای لازم است اما در این مقاله تصمیم بر آن داریم که روش جمع آوری Eventها و مشاهده آنها بصورت متمرکز در کامپیوتر خود را آموزش دهیم شما با استفاده از این قابلیت میتوانید Eventهای کامپیوتر یا کامپیوترهای مورد نظر خود را در یک کامپیوتر بصورت متمرکز جمع آوری کرده و بنا به نیاز آنها را فیلتر کرده و مشاهده کنید. قبل از شروع لازم است مفهموم Source Computer و Collector Computer را توضیح دهم چون در طول آموزش از این دو کلمه زیاد استفاده میکنیم
- Source Computer : کلاینت یا سروری است که Eventهای ساخته شده ی خود را برای Collector Computer ارسال میکند.
- Collector Computer : کلاینت یا سروری است که Eventهای Source Computer را دریافت و در خود ذخیره میکند.
این لاگها از Source Computer و از میان Eventهای ذخیره شده انتخاب و جمع آوری میشوند پس لازم است که در ابتدا در مسیر زیر در گروپ پالیسی Source Computer رفته و رویدادهای مورد نظر خود را انتخاب و جهت ثبت ، آنها را فعال کنید
Computer Configuration => Policies => Windows Settings => Security Settings => Local Policies => Audit Policy
جهت دریافت اطلاعات بیشتر از نحوه اعمال تنظیمات برای ثبت Eventها میتوانید به مقاله ای تحت عنوان معرفی فرآیند Auditing در شبکه مراجعه کنید ، برای اینکه Eventها در Collector Computer ذخیره شوند لازم است که اکانت کامپیوتر Collector Computer ( نه اکانت یوزر!! ) را عضو گروه Administrators کرده این عمل بایستی تنها در Source Computer انجام شود بدین منظور Run را در Source Computer اجرا کرده و عبارت lusrmgr.msc را تایپ کنید ( بایستی با دسترسی مدیریتی اجرا شود ) سپس در قسمت Groups ، به گروه Administrators رفته و از آن Properties بگیرید ، در این قسمت شما در حالت پیشفرض نمیتوانید کامپیوتر اکانتها را مشاهده کنید و برای مشاهده آنها بایستی Object Types را بزنید و در پنجره باز شده چک باکس Computers را علامت بزنید پس از آن میتوانید اکانت Collector Computer را پیدا و انتخاب کنید تا به گروه Administrators اضافه گردد یکبار دیگر یاد آور شوم که این عمل تنها لازم است که در Source Computer انجام شود.
با هم مراحل دیگر را پیش میبریم ... دستور زیر را در Collector Computer و در محیط Command اجرا کنید ( این دستور بایستی با دسترسی مدیریتی اجرا شوند )
WinRM qc -q
سپس دستورهای زیر را در Source Computer و در محیط Command اجرا کنید ( این دستورات بایستی با دسترسی مدیریتی اجرا شوند )
Wecutil qc -q WinRM quickconfig
حالا در Collector Computer رفته و وارد کنسول Event viewer شوید و در سمت چپ بر روی Subscriptions راست کلیک کرده و از منوی باز شده Create Subscriptions را بزنید
در این پنجره در قسمت Subscription name یک نام دلخواه و در قسمت Description log توضیحات دلخواه خود را در صورت تمایل اضافه میکنید همچنین در قسمت Destination Log مشخص میکنید که لاگها در چه قسمتی در Event viewer ذخیره شوند، با کلیک بر روی Select Computers میتوانید Source Computerهای خود را معرفی کنید ، در قسمت Select Events لاگهایی که تمایل به جمع آوری آنها دارید را انتخاب میکنید و در نهایت در قسمت Advanced یکسری تنظیمات دیگر ازجمله سطح دسترسی برای خواندن Eventها همچنین پروتکل و پورت مورد استفاده و یکسری تنظیمات دیگر را برای بهینه سازی تحویل Eventها میتوانید مشخص کنید.با هم این پنجره ها را باز کرده و ضمن پیش بردن سناریو ، توضیحی مختصری راجع به هر کدام میدهیم. با کلیک بر روی Select Computers پنجره ای به شکل زیر باز میشود
با کلیک بر روی Add domain computers میتوانید Source computerهای خود را در لیست اضافه و یا حذف کنید. سپس OK کرده و پس از بسته شدن پنجره با کلیک بر روی Select Events پنجره ی دیگری به شکل زیر باز میشود
در این پنجره در قسمتBy log ، نوع Eventها را مشخص کنید همچنین با استفاده از دیگر موارد میتوانید Eventهای خود را جهت ثبت ، فیلتر کرده تا از ثبت Eventهای زیاد جلوگیری شود ، تنظیمات دلخواه را انجام داده و OK کنید و در نهایت همانطور که گفته شد با انتخاب Advanced پنجره این به شکل زیر باز خواهد شد که در آن یکسری تنظیمات دیگر ازجمله سطح دسترسی برای خواندن Eventها همچنین پروتکل و پورت مورد استفاده و یکسری تنظیمات دیگر برای بهینه سازی تحویل Eventها را میتوانید مشخص کنید .Event Forwarding برای انتقال Eventها از HTTP استفاده میکند و شما جهت امن کردن میتوانید از HTTPS استفاده کنید .
آن را به حالت پیشفرض خود رها کرده و OK میکنیم تا پنجره بسته شود . با زدن OK و ثبت تغییرات پنجره Subscription properties بسته خواهد شد و یک رکورد جدید ثبت می شود ،
شما با راست کلیک بر روی این رکورد میتوانید آن را غیرفعال یا فعال کرده ، یا به تنظیمات آن دسترسی پیدا کنید و یا آنها را تغییر دهید همچنین با انتخاب Runtime Status پنجره ای به شکل زیر مشاهده میکنید
در این قسمت شما میتوانید وضعیت این سرویس را که در حال اجرا هست مشاهده کرده و در صورت بروز خطا ، توضیحات آن را مشاهده کنید . گرچه این وضعیت در وهله های زمانی بصورت اتوماتیک Retry خواهد شد ولی شما میتوانید با Disable و Enable کردن بصورت دستی این کار را انجام دهید ، گاهی اوقات با تغییر در سطح دسترسیها ، این کار موجب استفاده این سرویس با سطح دسترسی جدید خواهد شد.
پس از اتمام کار و مشاهده Eventها در قسمت Forwarded Events متوجه میشوید که تمامی لاگ ها ثبت میشوند به جز Security Log برای اینکه Security Logها هم ثبت شود لازم است که شما تنها در Source Computer اعضای Network Services را عضو گروه Event Log read کنید بدلیل اینکه در Source Computer در زمان اضافه کردن به گروه Event Log read ، گروه های Builtin مشاهده نمیشوند ، لازم است که از طریق سرور یک پالیسی ایجاد کنید و در Restricted Policy اعضای Network Services را به Event Log read اضافه کرده و آن را به Source Computers اعمال کنید.
و در نهایت برای اینکه دریافت Eventها با سطح دسترسی جدید انجام شود لازم است یکبار Source Computer ریستارت شود
کار تمام شده و با رفتن به کنسول Event viewer در Collector Computer و رفتن به Forwarded Event میتوانید لاگهای جمع آوری شده در Collector Computer را مشاهده کنید همچنین میتوانید از امکانات دیگر در این کنسول برای فیلتر کردن آنها و یا جست و جو استفاده کنید ، دقت داشته باشید که Eventها از طرف Source Computer در وهله های زمانی نسبتا کوتاهی برای Collector Computer ارسال میگردند و به محض ثبت Eventها در Source Computer نباید انتظار ثبت آن درCollector Computer را داشته باشیم. شاد و پیروز باشید