設定來源起始的訂用帳戶

  • 發行項

來源起始的訂用帳戶可讓您在事件收集器計算機上定義訂用帳戶,而不定義事件來源計算機,然後可以設定多個遠端事件來源電腦(使用組策略設定)將事件轉送至事件收集器計算機。 這與收集器起始的訂用帳戶不同,因為在收集器起始的訂閱模型中,事件收集器必須定義事件訂閱中的所有事件來源。

設定來源起始的訂用帳戶時,請考慮事件來源計算機是否位於與事件收集器計算機相同的網域中。 下列各節說明當事件來源位於與事件收集器計算機位於相同網域或不在相同網域時所要遵循的步驟。

注意

網域或遠端中的任何電腦都可以是事件收集器。 不過,選擇事件收集器時,請務必選取最接近產生大部分事件位置的計算機。 將事件傳送至WAN上遠端網路位置的計算機,可以降低事件收集的整體效能和效率。

設定來源起始的訂用帳戶,其中事件來源位於與事件收集器電腦相同的網域中

事件來源計算機和事件收集器計算機都必須設定為設定來源起始的訂用帳戶。

注意

這些指示假設您有 Windows Server 域控制器的系統管理員存取權,該域控制器會提供遠端電腦或電腦設定為收集事件的網域。

設定事件來源計算機

  1. 從 Windows Server 域控制器上的提高權限命令提示字元執行下列命令,以設定 Windows 遠端管理:

    winrm qc -q

  2. 執行下列命令來啟動群組原則:

    %SYSTEMROOT%\System32\gpedit.msc

  3. 在 [計算機設定] 節點下,展開 [系統管理範本] 節點,然後展開 [Windows 元件] 節點,然後選取 [事件轉送] 節點。

  4. 以滑鼠右鍵按兩下 SubscriptionManager 設定,然後選取 [ 屬性]。 啟用 SubscriptionManager 設定,然後按兩下 [顯示] 按鈕,將伺服器位址新增至設定。 新增至少一個指定事件收集器計算機的設定。 [ SubscriptionManager 屬性 ] 視窗包含描述 設定語法的 [說明 ] 索引標籤。

  5. 新增 SubscriptionManager 設定之後,請執行下列命令以確保套用原則:

    gpupdate /force

設定事件收集器計算機

  1. 從 Windows Server 域控制器上的提高權限命令提示字元執行下列命令,以設定 Windows 遠端管理:

    winrm qc -q

  2. 執行下列命令來設定事件收集器服務:

    wecutil qc /q

  3. 建立來源起始的訂用帳戶。 這可以透過程序設計方式、使用 事件檢視器 或使用Wecutil.exe來完成。 如需如何以程式設計方式建立訂閱的詳細資訊,請參閱建立來源起始訂閱中的程式碼範例。 如果您使用 Wecutil.exe,您必須建立事件訂用帳戶 XML 檔案,並使用下列命令:

    wecutil cs configurationFile.xml

    下列 XML 是訂用帳戶組態檔的內容範例,該配置檔會建立來源起始的訂用帳戶,將事件從遠端電腦的 Application 事件記錄檔轉送至事件收集器電腦上的 ForwardedEvents 記錄。

    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

    注意

    建立來源起始的訂用帳戶時,如果 AllowedSourceDomainComputers、AllowedSourceNonDomainComputers/IssuerCAList、AllowedSubjectList 和 DeniedSubjectList 都是空的,則“O:NSG:NSD:(A;;加語;;;DC)(A;;加語;;;NS)“ 將作為 AllowedSourceDomainComputers 的預設安全性描述元。 默認描述元會授與網域計算機網域群組的成員,以及本機網路服務群組(針對本機轉寄站),能夠引發此訂用帳戶的事件。

驗證訂用帳戶是否正常運作

  1. 在事件收集器電腦上,完成下列步驟:

    1. 從 Windows Server 域控制器上提高的權限命令提示字元執行下列命令,以取得訂用帳戶的執行時間狀態:

      wecutil gr <subscriptionID>

    2. 確認事件來源已連線。 在建立要連接事件來源的訂用帳戶之後,您可能需要等到原則中指定的重新整理間隔結束。

    3. 執行下列命令以取得訂用帳戶資訊:

      wecutil gs <subscriptionID>

    4. 從訂用帳戶資訊取得 DeliveryMaxItems 值。

  2. 在事件來源計算機上,引發符合事件訂用帳戶查詢的事件。 必須引發 DeliveryMaxItems 事件數目,才能轉送事件。

  3. 在事件收集器計算機上,驗證事件是否已轉送至 ForwardedEvents 記錄檔或訂用帳戶中指定的記錄。

轉送安全性記錄檔

若要能夠轉送安全性記錄,您必須將 NETWORK SERVICE 帳戶新增至 EventLog Readers 群組。

設定來源起始的訂用帳戶,其中事件來源不在與事件收集器電腦相同的網域中

注意

這些指示假設您有 Windows Server 域控制器的系統管理員存取權。 在此情況下,由於遠端事件收集器計算機或計算機不在域控制器所服務的網域中,因此必須使用 Services (services.msc) 將 Windows 遠端管理設定為「自動」來啟動個別用戶端。 或者,您可以在每個遠端用戶端上執行 「winrm quickconfig」。。

建立訂用帳戶之前,必須先符合下列必要條件。

  1. 在事件收集器計算機上,從提升許可權的命令提示字元執行下列命令,以設定 Windows 遠端管理和事件收集器服務:

    winrm qc -q

    wecutil qc /q

  2. 收集器計算機應該在本機計算機證書存儲中具有伺服器驗證憑證(具有伺服器驗證用途的憑證)。

  3. 在事件來源電腦上,執行下列命令來設定 Windows 遠端管理:

    winrm qc -q

  4. 來源計算機應在本機計算機證書存儲中具有客戶端驗證憑證(具有客戶端驗證用途的憑證)。

  5. 事件收集器計算機上會開啟埠 5986。 若要開啟此連接埠,請執行 命令:

    netsh 防火牆新增埠開啟 TCP 5986 “Winrm HTTPS 遠端管理”

憑證需求

  • 伺服器驗證憑證必須安裝在本機計算機個人存放區中的事件收集器計算機上。 此憑證的主體必須符合收集器的 FQDN。

  • 用戶端驗證憑證必須安裝在本機計算機個人存放區的事件來源計算機上。 此憑證的主體必須符合計算機的 FQDN。

  • 如果客戶端憑證是由與其中一個事件收集器不同的證書頒發機構單位所簽發,則必須在事件收集器上安裝這些根和中繼憑證。

  • 如果客戶端憑證是由中繼證書頒發機構單位所簽發,而且收集器正在執行 Windows 2012 或更新版本,您必須設定下列登錄機碼:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2

  • 確認伺服器和用戶端都能夠成功檢查所有憑證的撤銷狀態。 使用 certutil 命令可協助針對任何錯誤進行疑難解答。

如需詳細資訊,請參閱這篇文章: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx

在事件收集器上設定接聽程式

  1. 使用下列命令設定憑證驗證:

    winrm set winrm/config/service/auth @{Certificate=“true”}

  2. 具有伺服器驗證憑證指紋的 WinRM HTTPS 接聽程式應該存在於事件收集器電腦上。 這可以使用下列命令進行驗證:

    winrm e winrm/config/listener

  3. 如果您沒有看到 HTTPS 接聽程式,或 HTTPS 接聽程式的指紋與收集器電腦上的伺服器驗證憑證指紋不同,則可以刪除該接聽程式,並建立具有正確指紋的新接聽程式。 若要刪除 HTTPs 接聽程式,請使用下列命令:

    winrm delete winrm/config/Listener?Address=*+Transport=HTTPS

    若要建立新的接聽程式,請使用下列命令:

    winrm 建立 winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname=“<收集器的> FQDN”;CertificateThumbprint=“<伺服器驗證憑證>的指紋列印”}

在事件收集器上設定憑證對應

  1. 建立新的本機使用者。

  2. 將此新用戶設為收集器上的本機系統管理員。

  3. 使用電腦「受信任的跟證書授權單位」或「中繼證書頒發機構單位」中的憑證建立憑證對應。

    注意

    這是在事件來源計算機上安裝憑證的跟證書或中繼證書頒發機構單位 (CA) 憑證 (CA 緊接在憑證鏈結中的憑證上方):

    winrm 建立 winrm/config/service/certmapping?簽發者=<發行 CA 憑證> +Subject=*+URI=* @{UserName=“username>”;<Password=“<password>”} -remote:localhost

  4. 從用戶端,使用下列命令來測試接聽程式和憑證對應:

    winrm g winrm/config -r:https://<Event Collector FQDN>:5986 -a:certificate -certificate:“<用戶端驗證憑證>的指紋”

    這應該會傳回事件收集器的 WinRM 組態。 如果未 顯示設定,請勿移至此步驟。

    此步驟會發生什麼事?

    • 用戶端會連線到事件收集器,並傳送指定的憑證。
    • 事件收集器會尋找發行 CA,並檢查 是否為相符的憑證對應。
    • 事件收集器會驗證客戶端憑證鏈結和撤銷狀態。
    • 如果這些步驟成功,驗證就會完成。

注意

您可能會收到拒絕存取錯誤,抱怨驗證方法可能會造成誤導。 若要進行疑難解答,請檢查事件收集器上的 CAPI 記錄。

  1. 使用 命令列出已設定的 certmapping 專案: winrm 列舉 winrm/config/service/certmapping

注意

在步驟 1 中建立的本機用戶絕不會用來模擬在 EventLog 轉送案例中透過憑證驗證連線的使用者,之後可以刪除。 如果您打算在不同的案例中使用憑證驗證,例如遠端 Powershell,請勿刪除本機使用者。

事件來源計算機組態

  1. 使用系統管理員帳戶登入並開啟本地組原則編輯器 (gpedit.msc)

  2. 流覽至本機計算機原則\計算機設定\系統管理範本\Windows 元件\事件轉送。

  3. 開啟 「設定目標訂用帳戶管理員的伺服器位址、重新整理間隔和簽發者證書頒發機構單位」原則。

  4. 啟用原則並按兩下 SubscriptionManagers “Show...”按鈕。

  5. 在 [SubscriptionManagers] 視窗中,輸入下列字元串:

    事件收集器伺服器:5986/wsman/SubscriptionManager/WEC 的 Server>=HTTPS://< FQDN,以秒>為單位重新整理間隔,IssuerCA=<<發行 CA 憑證的指紋>

  6. 執行下列命令行以重新整理本地組原則設定:Gpupdate /force

  7. 這些步驟應該會在來源計算機中產生事件 104 事件檢視器 Applications and Services Logs\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational 記錄,並顯示下列訊息:

    「轉寄站已成功連線到位址 <FQDN>的訂用帳戶管理員,後面接著事件 100,並顯示訊息:「已成功建立訂 <用帳戶sub_name> 。」

  8. 在事件收集器上,訂閱運行時間狀態現在會顯示 1 部作用中計算機。

  9. 開啟事件收集器上的 ForwardedEvents 記錄檔,並檢查您是否已從來源電腦轉送事件。

在事件來源上授與客戶端憑證私鑰的許可權

  1. 在事件來源計算機上開啟本機計算機的 [憑證] 管理控制台。
  2. 以滑鼠右鍵按下客戶端憑證,然後按兩下 [管理私鑰]。
  3. 將讀取許可權授與 NETWORK SERVICE 使用者。

事件訂用帳戶組態

  1. 在事件收集器中開啟 事件檢視器,然後流覽至 [訂用帳戶] 節點。
  2. 以滑鼠右鍵按兩下 [訂用帳戶],然後選擇 [建立訂用帳戶...]
  3. 為新的訂用帳戶提供名稱和選擇性描述。
  4. 選取 [來源計算機起始] 選項,然後按兩下 [選取計算機群組...]。
  5. 在 [計算機群組] 中,按兩下 [新增非網域計算機...] 並輸入事件來源主機名。
  6. 按兩下 [新增憑證...] 並新增頒發客戶端憑證的證書頒發機構單位憑證。 您可以按下 [檢視憑證] 來驗證憑證。
  7. 在 [證書頒發機構單位] 中,按兩下 [確定] 以新增憑證。
  8. 完成新增計算機時,按兩下 [確定]。
  9. 回到訂用帳戶屬性,按兩下 [選取事件...
  10. 藉由指定事件層級、事件記錄檔或事件來源、事件標識元(s)和任何其他篩選選項,來設定事件查詢篩選。
  11. 回到訂用帳戶內容,按兩下 [進階...
  12. 選擇其中一個優化選項,將事件從來源事件傳遞至事件收集器,或保留預設的 [一般]:
    1. 將頻寬降到最低:將傳遞事件的頻率會降低以節省頻寬。
    2. 最小化延遲:事件會在發生時立即傳遞,以減少事件延遲。
  13. 將 [通訊協定] 變更為 [HTTPS],然後按兩下 [確定]。
  14. 按兩下 [確定] 以建立新的訂用帳戶。
  15. 以滑鼠右鍵按下並選擇 [運行時間狀態] 來檢查訂用帳戶的運行時間狀態