Segurança da Coleta de Eventos

As considerações sobre segurança a seguir devem ser usadas para o Serviço de Coleta de Eventos.

Resumo das permissões do serviço de coleta de eventos

Verifique se a identidade da nova instância do Serviço de Coleta de Eventos possui as seguintes permissões:

  • Permissão para criar uma sessão do ETW, registrar um provedor e ler eventos de uma sessão do ETW.

  • Permissão de leitura na configuração do Serviço de Coleta de Eventos armazenada no arquivo raiz Web.config.

  • Permissão de leitura nos arquivos de configuração do IIS localizados em <Unidade>\Windows\System32\inetserv\config.

  • Permissão de leitura nos arquivos aplicáveis de configuração de aplicativo (Web.config) para aplicativos que estão sendo monitorados.

  • Permissões de leitura e gravação para o banco de dados de monitoramento.

  • Diretiva “Login como um serviço”

Executando como um usuário específico

Para isolar os eventos em um aplicativo específico que está sendo monitorado pelo Windows Server AppFabric, execute os aplicativos que incluem os serviços do Windows Communication Foundation (WCF) e/ou do Windows Workflow Foundation (WF) como um usuário específico. Verifique se o usuário tem permissão para gravar na sessão de Rastreamento de Eventos para Windows (ETW) na qual o Serviço de Coleta de Eventos atende. Além disso, execute o Serviço de Coleta de Eventos real como um usuário específico. Esse usuário pode ser o mesmo do aplicativo ou um usuário diferente. As seguintes etapas permitem que o Serviço de Coleta de Eventos seja executado como um usuário específico:

  1. Adicione a identidade da instância do Serviço de Coleta de Eventos ao grupo Usuários do Log de Desempenho do Windows. Essa ação fornecerá as ACLs adequadas ao Serviço de Coleta de Eventos para a criação de uma sessão do ETW, para o registro de um provedor e para a leitura de eventos de uma sessão do ETW.

  2. A identidade do Serviço de Coleta de Eventos requer permissões de leitura e gravação para o armazenamento de dados de monitoramento. Isso requer que a identidade Serviço de Coleta de Eventos seja adicionada às funções de banco de dados ASMonitoringDbReader e ASMonitoringDbWriter. Você pode adicionar explicitamente a identidade a essas funções do banco de dados. Ou pode adicionar a identidade do Serviço de Coleta de Eventos ao grupo AS_Administrators do Windows criado por AppFabric.

  3. Conceda permissão de leitura à identidade do Serviço de Coleta de Eventos para o arquivo Web.config dos aplicativos que estão sendo monitorados. A adição da identidade da instância do Serviço de Coleta de Eventos ao grupo AS_Administrators do Windows fornece ao Serviço de Coleta de Eventos acesso de leitura para os arquivos de configuração dos aplicativos do IIS que estão localizados no diretório <Unidade>\Windows\system32\inetserv\config.

Para que um aplicativo que inclua os serviços do Windows Communication Foundation (WCF) e/ou do Windows Workflow Foundation (WF) use o monitoramento do Windows Server AppFabric, é necessário emitir eventos para a sessão do ETW da qual o Serviço de Coleta de Eventos está coletando eventos. Para que o aplicativo tenha permissão para gravar na sessão do ETW, verifique se a identidade do pool de aplicativos no qual o aplicativo está executando possui permissões de gravação na sessão do ETW. Isso pode ser feito adicionando a identidade à lista de usuários com acesso à sessão do ETW através da ferramenta Monitor de Desempenho e Confiança do Windows. Como opção, você pode alterar as permissões do usuário para gravar na sessão do ETW usando a API EventAccessControl do Win32 (https://go.microsoft.com/fwlink/?LinkId=179742).

Se a identidade do Serviço de Coleta de Eventos não tiver a permissão de leitura do arquivo Web.config do aplicativo que estiver monitorando, ela gerará o Evento ID 130. Este evento será gravado no log de eventos no nó Microsoft-Windows-Application Server-System Services/Admin.

Você pode atribuir uma permissão de leitura à identidade do Serviço de Coleta de Eventos para o arquivo Web.config de um aplicativo de uma das seguintes formas:

  • Usando o Windows Explorer, clique com o botão direito do mouse no arquivo Web.config do seu aplicativo, selecione Propriedades e, em seguida, clique na guia Segurança. Atribua a permissão de Leitura à identidade utilizada para o Serviço de Coleta de Eventos.

    Dica

    Como as configurações de segurança são às vezes armazenadas em cache, pode levar algum tempo para que as permissões sejam aplicadas após a permissão de leitura ser concedida. Além disso, poderá ser necessário reiniciar o Serviço de Coleta de Eventos para que ele possa ler o arquivo Web.config do aplicativo com as permissões atualizadas.

  • Uma alternativa para definir explicitamente a permissão de leitura do arquivo Web.config é mover o seu aplicativo para a pasta raiz da Web. Por exemplo, para o site padrão, esse local seria <unidade do sistema>\inetpub\wwwroot. Em tempo de desenvolvimento, você também pode fazer isso a partir do Visual Studio. Clique com o botão direito do mouse e selecione Publicar para publicar o serviço de Web no servidor IIS local (use Localhost) usando o MSDeploy.

Diretiva “Login como um serviço”

Em um ambiente de domínio, as identidades de serviço nas quais o Serviço de Coleta de Eventos e o Serviço de Gerenciamento de Fluxo de Trabalho serão executados nos diversos servidores em um web farm deverão estar no grupo de administradores de domínio do AppFabric. Como esse grupo é criado manualmente pelo administrador de domínio, o nome do grupo é arbitrário. Normalmente, esse grupo inclui a conta de administrador de domínio do AppFabric. O privilégio “Login como um serviço” deve ser concedido aos usuários desse grupo e reforçado no domínio. Esse direito permite que uma entidade de segurança faça login como um serviço. Qualquer serviço executado em uma conta de usuário separada deve ser atribuído ao direito. Para obter informações sobre como adicionar o direito “Login como um serviço” a uma conta, consulte https://go.microsoft.com/fwlink/?LinkId=192517 (a página pode estar em inglês).

  2011-12-05