Rsyslog ddim yn mewngofnodi Digwyddiadau Windows
Rwy'n ceisio ffurfweddu anfon Digwyddiadau Windows i weinydd rsyslog, ond rsyslog yn eu hanwybyddu.
$EscapeControlCharactersOnReceive off
template(name="OnlyMsg" type="string" string="%msg:::drop-last-lf%\n")
module(load="imtcp")
input(type="imtcp" port="10514" ruleset="Remote10514LogProcess")
template(name="RemoteWinLogSavePath" type="list") {
constant(value="/var/spool/rsyslog/windows-pci-dss/")
property(name="hostname")
constant(value="/")
property(name="timegenerated" dateFormat="year")
constant(value="/")
property(name="timegenerated" dateFormat="month")
constant(value="/")
property(name="timegenerated" dateFormat="day")
constant(value="/")
property(name="$.logpath" )
}
ruleset(name="Remote10514LogProcess") {
set $.logpath = replace($programname, "-", "/");
if ( $syslogtag contains "Security" ) then
action(type="omfile" dynaFileCacheSize="1024"
dynaFile="RemoteWinLogSavePath"
template="OnlyMsg" flushOnTXEnd="off" asyncWriting="on"
flushInterval="1" ioBufferSize="64k")
}
ni fydd darn o becyn a dderbynnir gan weinydd windows
14:28:31.034046 IP 192.168.1.2.64733 > 192.168.1.49.10514: UDP, length 286
0x0000: 4500 013a 7eb8 0000 8011 231e c0a8 0b5b E..:~.....#....[
0x0010: c0a8 0b31 fcdd 2912 0126 e9cd 3c31 3837 ...1..)..&..<187
0x0020: 3e4e 6f76 2020 3120 3134 3a32 383a 3330 >Nov..1.14:28:30
0x0030: 2050 524f 442d 3031 2d44 4330 3320 5365 .WIN-SERVER.Se
0x0040: 6375 7269 7479 2d41 7564 6974 696e 673a curity-Auditing:
0x0050: 2034 3737 363a 2041 5544 4954 5f46 4149 .4776:.AUDIT_FAI
0x0060: 4c55 5245 2054 6865 2063 6f6d 7075 7465 LURE.The.compute
0x0070: 7220 6174 7465 6d70 7465 6420 746f 2076 r.attempted.to.v
...
Hyd yn oed os nodaf
:syslogtag, startswith, "Security-Auditing:" -/var/spool/rsyslog/Security/Auditing.txt
:syslogtag, startswith, "Security-Auditing:" ~
yn gweithio.
Насколько я знаю, Windows не может пересылать журналы событий «как это» на удаленный сервер SYSLOG. Вместо этого вам следует рассмотреть один из следующие подходы:
- Настройте сервер сборщика событий Windows (WEC) и настройте исходные клиенты (WEF) для работы с этим сборщиком. Затем вы должны установить поверх него агентское решение, которое будет перенаправлять ваши журналы на конечную цель (например, SIEM). Основные доступные агентные решения: NXLog agent CE, WinLogBeat, RSYSLOG, Splunk Agent UF, ...
- Используйте безагентный подход с эмулированным сервером WEC . Это можно сделать с помощью двух имеющихся на рынке решений: NXLog agent Enterprise или SYSLOG-NG Premium.
- Разверните одно из упомянутых ранее агентских решений на всех исходных клиентах Windows. Но в зависимости от размера вашей среды это может быть очень сложно. Вместо этого я бы лично предложил подход WEC.
Обратите внимание, что если ваши исходные хосты находятся в одном домене, WEC с аутентификацией Kerberos можно настроить очень быстро. В случае, если исходные хосты находятся в рабочей группе, вам может потребоваться развернуть и использовать сертификаты TLS.
Во всех случаях, и если вы хотите поближе познакомиться с возможностями Windows Event Collector, я могу порекомендовать взглянуть на этот презентация .