Windows Event Log Collector

Per il seguente articolo un particolare ringraziamento a Roberto Massa:

robi

Roberto Massa, si occupa di Informatica dal 1989 si è occupato della gestione di sistemi distribuiti in ambito networking con sistemi Windows, Linux, e Netware, ha approfondito la conoscenza di sistemi di monitoraggio Open-Source in particolare Nagios e Zenoss.

Certificato sulle tecnologie Microsoft Hyper-V,

Da alcuni anni si occupa di sicurezza implementando soluzioni basate su sistemi OpenBSD e OpenVPN.

E’ intervenuto come speaker ad eventi Linuxday e Microsoft ITCamp.

Nel 2015 è intervenuto alle due edizioni del Server Infrastructure Day.

Da gennaio 2016 è Microsoft MVP per Cloud and Datacenter Management

Attualmente è impiegato come sistemista presso l’Azienda Ospedaliera S. Croce e Carle di Cuneo.

Introduzione

L’analisi degli eventi ha un ruolo importante nelle attività di controllo e monitoraggio dei sistemi, per questo scopo è possibile consultare il Registro Eventi di Windows ed effettuare tramite filtri personalizzabili una rilevazione puntuale degli eventi significativi.

In ambienti distribuiti dove il numero di sistemi connessi è elevato, la rilevazione degli eventi è complicata ed in alcuni casi impossibile senza l’uso di strumenti adatti a questo scopo.

In commercio sono disponibili numerosi software che permettono di effettuare queste rilevazioni.

Tuttavia prima di decidere se procedere all’acquisto, a volte può essere utile familiarizzare con questa modalità di monitoraggio. In modo nativo, dalla versione di Windows Server 2008, esiste la funzione di Log Collector che permette la centralizzazione degli eventi generati all’interno dei sistemi operativi sia client che server.

Gli eventi vengono quindi rilevati su host differenti (Source) e convogliati in un’unica destinazione (Collector).

image

Avendo a disposizione tutti gli eventi in un’unica posizione è più semplice identificarli, correlarli e se necessario effettuare l’invio di ulteriori notifiche.

Ad esempio in un dominio Active Directory distribuito su site differenti e con un certo numero di Domain Controller, può essere utile mantenere sotto controllo il numero di Login Falliti o di account lockout in modo da prevenire tentativi di accesso di tipo brute-force anche dall’interno della rete.

 

Modalità di configurazione

Log Collector, lavora in modalità Source-Initiated oppure Collector-Initiated, a seconda se è il sistema sorgente ad inviare gli eventi o se invece è il collector ad interrogare il Source effettuando un polling dal registro eventi.

La raccolta degli eventi usa il protocollo Ws-Man disponibile in Windows Server come parte del Framework di management.

In questo articolo analizzeremo la funzionalità di Event log Collector all’interno di Windows server 2012 R2 (e successive versioni) in modalità Collector-Initiated

Possono essere utilizzati i sistemi operativi configurati nei vari ruoli secondo lo schema seguente

S.O. CLIENT

XP (SP2)

Vista

W7

W8 (8.1)

W10

Source

SI

SI

SI

SI

SI

Collector

NO

NO

No

NO

NO

 

S.O. SERVER

Ws 2003 (SP1)

Ws 2003 (SP2)

Ws 2003 (SP1)

Ws 2003 R2

Ws 2008

Ws 2008 R2

Ws 2012

Ws 2012 R2

Source

SI

SI

SI

SI

SI

SI

SI

SI

Collector

NO

NO

NO

SI

SI

SI

SI

SI

n.b. abbiamo inserito anche versioni di sistema operativo non più supportati solo per una informazione più precisa.

 

Configurazione del collector

Come già accennato prima, la funzionalità è nativa, non necessita quindi di licenze o versioni particolari di sistema, è sufficiente attivare il servizio “Windows Event Collector” e successivamente, dall’interno del registro eventi, creare una Subscription.

La Subscription permette la configurazione puntuale di dove e cosa prelevare, ossia la definizione dei sistemi e, su questi, quali eventi dovranno essere rilevati.

image

Possono essere definite più Subscription anche nei confronti degli stessi “source”, In modo da organizzare la rilevazione di eventi omogenei su sistemi differenti.

La creazione di una nuova Subscription presenta la videata qui sotto e le opzioni disponibili sono:

Subscription Name: il nome della Subscription

Destination Log: ossia il log locale al collector nel quale verranno posizionati gli eventi raccolti, è possibile utilizzare un registro del sistema stesso, oppure redirigere gli eventi in un log predisposto per questa funzione il “Forwarded Events”

Collector initiated/source computer initiated: ossia la definizione della modalità Push/Pull della raccolta ed i vari source da cui raccogliere gli eventi, è possibile configurare i computer da cui prelevare gli eventi.

Events to collect: la tipologia di eventi da raccogliere, in modo del tutto uguale alla definizione dei filtri locali

image

La sezione events to collect permette di definire in maniera precisa la tipologia di eventi da raccogliere

image

Esempio di selezione di eventi da rilevare.

“In questo caso i login falliti su sistemi server con versione successiva alla 2008 R2 e client successivi versione 7”

Event ID 4625

image

Le opzioni avanzate: consentono di impostare l’account con cui accedere ai source per la raccolta dei log, la frequenza di polling e la modalità di accesso al sistema remoto.

User Account: È possibile quindi fare sì che l’accesso ai registri eventi remoti avvenga con l’account macchina del server collector o tramite un account dedicato, in entrambe i casi sul sistema remoto l’utente o l’account di sistema deve fare parte del gruppo “Event Log Readers”

Event Delivery Optimization permette di definirela frequenza con cui vengono prelevati gli eventi secondo tre impostazioni

Normal: viene effettuata una connessione ogni 15 minuti

Minimize Bandwidth: la connessione è effettuata ogni 6 ore

Minimize Latency: la connessione è effettuata ogni 30 secondi “quest’ultima modalità è chiaramente quella con maggior impatto dal *** di vista dell’uso di banda, ma è la più indicata per la rilevazione di eventi critici o di sicurezza”

Protocol: consente di impostare la porta di comunicazione del servizio ed eventualmente la connessione cifrata in HTTPS. (La porta 5985 è il default per il servizio WinRM)

Configurazione del Source Computer

Per poter accedere al log eventi di un Source Computer è necessario attivare il servizio di Remote Management, in modo da permettere al Collector di accedere la sistema

L’ accesso può avvenire tramite l’account macchina (del Collector) oppure tramite un account definito all’interno della Subscription.

Il entrambe le modalità di accesso al log eventi l’account macchina o l’utente devono fare parte del gruppo “Event Log Readers” locale al source.

Terminate le configurazioni è necessario un riavvio del sistema operativo. 

 

 

 

Importante

Se si raccolgono gli eventi di Security da un sistema che è anche Domain Controller il network service account deve avere i permessi di accesso al Security Event Log

I comandi da eseguire sul sistema sono

wevtutil get-log security per la visualizzazione dello stato

wevtutil set-log security /ca:’O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)’ per l’impostazione di security relativa all’accesso al registro eventiù

 

Abilitazione del Servizio Windows Remote Management

Questo servizio è necessario per le funzioni descritte, e più in generale per la gestione remota di un sistema, tuttavia se non fosse abilitato, con il comando winrm qc(quick config) eseguito da una console con privilegi elevati è possibile attivarlo, lo stesso comando provvede anche alla configurazione del firewall locale con le dovute eccezioni

image

 

Controllo dello stato di Windows Remote Management

Per verificare lo stato del servizio WinRM (che sui sistemi dalla versione 2012 è abilitato di default) è possibile utilizzare il comando seguente Winrm get winrm/config

 

Test del servizio di Collection

Per poter verificare il sistema funzioni e che gli eventi, secondo i filtri impostati, vengano rilevati in modo corretto è possibile generare forzatamente un evento, facendo in modo che questo corrisponda ai criteri di rilevazione della collection.

In questo modo è sufficiente attendere il tempo di polling per verificare la presenza dell’evento generato nell’area “Forwarded Events”.

 

Generazione di un evento test

eventcreate / id9999 /t error /l application /d “Errore di Test”

Tramite i comando WECUTIL (Windows Event Collector Utility) è possibile rilevare informazioni sulle Subscription e in generale sul sevizio collector

 

Controllo delle Subscription

WECUTIL ESriporta la lista delle Subscription attive

WECUTIL GS<nome_subscription> fornisce il dettaglio delle impostazioni della Subscription

WECUTIL RS<nome_subscription> effettua forzatamente un polling della Subscription

Riferimenti alle tipologie di eventi security:

https://support.microsoft.com/en-us/kb/977519ID list eventi di security windows 7 e 2008 R2

https://www.microsoft.com/en-us/download/details.aspx?id=35753 ID list eventi di security windows 8 e 2012