Windows怎么配置Windows事件转发_Windows如何集中收集多台电脑的Windows事件日志【进阶】-1

如果您希望在Windows环境中集中收集多台计算机的事件日志,以便统一监控与审计,则需启用Windows事件转发功能。该机制依赖于Windows事件收集器(Windows Event Collector)服务与订阅模型,通过WEC服务器从多个源计算机拉取或接收事件日志。以下是实现此目标的具体操作步骤:

一、在WEC服务器上配置事件收集器服务

事件收集器服务是接收并存储转发事件日志的核心组件,必须在指定的中心服务器上启用并配置为自动启动。该服务默认未启用,需手动激活并赋予相应权限。

1、以管理员身份运行PowerShell。

2、执行命令:Start-Service winrm,确保WinRM服务已运行。

3、执行命令:winrm quickconfig -q,启用WinRM监听器并配置基础策略。

4、执行命令:Set-Service WecSvc -StartupType Automatic。

5、执行命令:Start-Service WecSvc,启动Windows事件收集器服务。

6、运行eventvwr.msc,展开“订阅”节点,确认右侧窗格中无报错提示且状态栏显示“已连接”。

二、在源计算机上配置WinRM和事件日志访问权限

源计算机需允许WEC服务器通过WinRM协议查询其事件日志,并授权特定用户组读取安全/系统/应用程序等日志。权限缺失将导致订阅失败或仅返回空日志。

1、以管理员身份运行PowerShell。

2、执行命令:winrm quickconfig -q,启用本地WinRM服务。

3、执行命令:winrm set winrm/config/service ‘@{AllowUnencrypted=”true”}’(仅限内网可信环境;若启用HTTPS,请跳过此步并配置证书)。

4、执行命令:winrm set winrm/config/service/auth ‘@{Basic=”true”}’,启用Basic认证(配合HTTPS或域环境使用)。

5、运行gpedit.msc,导航至“计算机配置→管理模板→Windows组件→事件转发”,启用“允许事件转发”策略。

6、运行secpol.msc,进入“本地策略→用户权限分配”,双击“管理审核和安全日志”,添加WEC服务器的计算机账户(如DOMAIN\WEC-SERVER$)或专用服务账户。

三、创建事件订阅(基于收集器发起的拉取模式)

拉取模式由WEC服务器主动向源计算机发起请求获取日志,适用于网络策略限制入站连接的场景。需在WEC服务器上新建订阅,并指定日志通道、查询筛选条件及源列表。

1、打开“事件查看器”,右键“订阅”,选择“创建订阅”。

2、在“选择目标日志”页,勾选ForwardedEvents作为存储位置。

3、在“选择事件来源”页,点击“添加”按钮,输入源计算机的FQDN或IP地址,确保DNS可解析且防火墙放行5985(HTTP)或5986(HTTPS)端口。

4、在“选择事件”页,点击“编辑查询”按钮,使用XML查询语法定义日志范围,例如:<QueryList><Query Id=”0″ Path=”Security”><Select Path=”Security”>*[System[(EventID >= 4624) and (EventID <= 4640)]]</Select></Query></QueryList>。

5、在“设置”页,选择“按计划收集事件”,设定间隔为15分钟(最小支持值),避免高频轮询造成性能压力。

6、完成向导后,右键新订阅,选择“开始订阅”,观察状态是否变为“正在运行”。

四、配置事件订阅(基于源计算机推送的收集器初始化模式)

推送模式由源计算机主动将匹配事件发送至WEC服务器,降低中心服务器轮询开销,但要求源端具备稳定出站连接能力,并预先注册WEC服务器为合法接收者。

1、在WEC服务器上运行PowerShell,执行:wecutil cs C:\temp\subscription.xml,其中XML文件包含<Subscription>定义,含<Delivery Mode=”Push”>及<AllowedSourceDomain>字段。

2、将生成的订阅配置文件(如subscription.xml)复制到每台源计算机的本地路径。

3、在源计算机上以管理员身份运行PowerShell,执行:wecutil cs C:\temp\subscription.xml,注册推送订阅。

4、验证注册结果:执行wecutil gr “SubscriptionName”,输出中应包含Status: Active和DeliveryMode: Push。

5、检查源计算机的“应用程序和服务日志→Microsoft→Windows→EventCollector→Operational”日志,确认无ID为102或103的错误事件。

五、使用组策略批量部署源端配置

针对域环境中的大量客户端,手工配置不可持续。可通过组策略对象(GPO)统一部署WinRM设置、事件转发策略及安全权限,确保配置一致性与可维护性。

1、在域控制器上打开“组策略管理”,新建GPO并链接至目标OU。

2、编辑GPO,导航至“计算机配置→策略→管理模板→Windows组件→Windows远程管理(WinRM)→WinRM服务”,启用“允许自动配置侦听器”,设置IPv4和IPv6筛选器为*。

3、在相同路径下,启用“允许凭据安全支持提供程序(CredSSP)”策略,并勾选“客户端角色”和“服务端角色”。

4、导航至“计算机配置→策略→管理模板→Windows组件→事件转发”,启用“允许事件转发”,并在“允许的收集器列表”中填入WEC服务器的FQDN。

5、导航至“计算机配置→策略→Windows设置→安全设置→本地策略→用户权限分配”,配置“管理审核和安全日志”,添加WEC服务器的计算机账户。

6、运行gpupdate /force强制刷新策略,随后在任意源计算机上执行rsop.msc验证策略是否已应用。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。