Paramètres de configuration des sources d'événements Windows

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique vous indique comment configurer des sources d'événements Windows pour le Log Collector.

L'option Windows/Config sous la vue Config > Onglet Sources d'événements du service Log Collector affiche les paramètres de configuration des sources d'événements Windows.

Pour accéder aux paramètres de configuration des sources d'événements Windows :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la grille Services, sélectionnez un service Log Collector.
  3. Dans la colonne Actions, sélectionnez Menu Actions détouré > Afficher > Config.
  4. Sous l'onglet Sources d'événements, sélectionnez Windows/Config dans les menus déroulants.

WinEvSrcTb.png

Fonctions

La vue Windows/Config sous l'onglet Sources d'événements contient deux panneaux : Catégories d'événements et hôtes

Panneau Catégories d'événements

Le panneau Catégories d'événements répertorie les alias de sources d'événements Windows existants. Utilisez cette section pour ajouter ou supprimer des alias de sources d'événements Windows.

Le domaine Windows, connu sous le nom d'alias, est le paramètre de configuration que Log Collector utilise pour regrouper les sources d'événements. Le plus souvent, l'alias définit un seul domaine, car les informations d'identification (nom d'utilisateur et mot de passe) et les canaux sont utilisés à l'échelle du domaine. Quelquefois, vous devez définir plusieurs entrées d'alias pour le même domaine pour personnaliser les paramètres des différents groupes de sources d'événements.

Barre d'outils

Le tableau ci-dessous fournit la description des options contenues dans les barres d'outils.

                      
OptionDescription :
Icon-Add.pngAffiche la boîte de dialogue Ajouter une source d'événement dans laquelle vous définissez les paramètres d'une nouvelle source d'événement Windows.
Icon_Delete_sm.pngSupprime les alias de sources d'événements Windows que vous avez sélectionnés.
icon-edit.pngAffiche la boîte de dialogue Modifier la source de l'événement dans laquelle vous modifiez les paramètres de la source d'événement Windows sélectionnée.
Lorsque plusieurs sources d'événements sont sélectionnées, ouvrez la boîte de dialogue Modifier la source en bloc qui permet de modifier les valeurs de paramétrage pour les sources d'événements sélectionnées. 
Consultez la rubrique Importer, exporter et modifier des sources d'événements en bloc dans le Guide de configuration de Log Collection pour obtenir les étapes détaillées sur la façon d'utiliser cette fonction.
ImportSourceIcon.PNGOuvre la boîte de dialogue Option d'ajout en bloc permettant d'importer en bloc les paramètres d'hôtes liés aux sources d'événements à partir d'un fichier CSV.
Consultez la rubrique Importer, exporter et modifier des sources d'événements en bloc dans le Guide de configuration de Log Collection pour obtenir les étapes détaillées sur la façon d'utiliser cette fonction.
ExportSourceIcon.PNGCrée un fichier .csv contenant les paramètres des hôtes sélectionnés.
Consultez la rubrique Importer, exporter et modifier des sources d'événements en bloc dans le Guide de configuration de Log Collection our obtenir les étapes détaillées sur la façon d'utiliser cette fonction.
testConnection.PNGValide les paramètres de configuration pour les hôtes sélectionnés. 
Reportez-vous au Guide de configuration de Log Collection pour obtenir des instructions détaillées sur la façon de tester les connexions de sources d'événements en bloc.

Boîte de dialogue Ajouter une source d'événement

Dans cette boîte de dialogue, vous définissez les paramètres d'une nouvelle source d'événement Windows.

                                             
FonctionnalitéDescription
Basique
Alias*Le domaine Windows, appelé Alias, est le paramètre de configuration que Log Collector utilise pour regrouper les sources d'événements. Ces groupes de types de sources d'événements (par exemple, domain2, domain3 et domain4) permettent de classer les sources d'événements que vous avez configurées.
Méthode d'authentification*Méthode d'authentification. Les valeurs autorisées sont les suivantes :
  • De base (valeur par défaut)
  • Négocier - Négocie l'authentification entre Kerberos et NTLM (Microsoft Windows NT LAN Manager). Pour des raisons de sécurité, Security Analytics prend exclusivement en charge Kerberos.
CanalListe de canaux séparés par des virgules à partir de laquelle Security Analytics collecte des événements. Système, Application, Sécurité est la valeur par défaut de ce paramètre. Reportez-vous à « Déterminer le nom du canal dans la source d'événement Windows » dans Étape 1. Configurer des sources d'événements Windows dans Security Analytics pour connaître les noms de canaux appropriés à utiliser pour définir ce paramètre.
Vous pouvez utiliser des parenthèses pour inclure ou exclure des ID d'événement.  Le filtre d'exclusion doit contenir un caractère ^ entre le nom du canal et l'ID d'événement. Vous devez séparer les ID d'événement avec un caractère |.  Par exemple,  Application^(211|300), System(1010|1012)  exclut les événements Application 211 et 300 et inclut les événements System 1010 et 1012.
Un canal est un flux nommé d'événements qui transporte ces derniers d'un éditeur d'événements vers un fichier log des événements. Il existe de nombreux canaux Windows prédéfinis. Voici quelques exemples de canaux :
Système ‐ applications qui s'exécutent sous des comptes de service système (services système installés), des pilotes, des composants ou des applications avec des événements liés à l'intégrité du système.
Application ‐ toutes les applications de niveau utilisateur. Ce canal est non-sécurisé et reste ouvert à n'importe quelle application. Si une application comporte des informations détaillées, vous devez lui définir un canal qui lui est spécifique.
Sécurité ‐ le journal d'audit Windows (log d'événements) utilisé exclusivement pour l'Autorité de sécurité locale de Windows.
Consultez la page http://msdn.microsoft.com/frfr/subscriptions/aa385225 (v=vs.85).aspx pour obtenir des informations supplémentaires sur les canaux Windows.
Nom d'utilisateur *Nom d'utilisateur de la source d'événement. Pour l'authentification par négociation, il doit s'agir du nom du principal Kerberos au format nom@domainekerberos. Par exemple :
logcollector@LAB30.LOCAL.
Mot de passe *Mot de passe de la source d'événement. Le mot de passe est chiffré en interne et s'affiche dans sa forme chiffrée.
Marquer tous les événementsActivez cette case à cocher pour lire toutes les données d'événements historiques d'un canal. Les valeurs autorisées sont les suivantes :
  • Case à cocher activée ‐ Log Collector collecte toutes les données d'événements historiques d'un canal spécifique.
  • Case à cocher désactivée (par défaut) ‐ Log Collector ne collecte pas les données d'événements historiques d'un canal spécifique.
Avancé 
Nb max. d'interrogations de duréesDurée maximale du cycle d'interrogation en secondes.
Nbre max. d'événements par cycleNombre maximal d'événements par cycle d'interrogation (nombre d'événements collectés par cycle d'interrogation).
Intervalle d'interrogation :Intervalle (durée en secondes) entre chaque interrogation. La valeur par défaut est 180.
Par exemple, si vous spécifiez 180, le collecteur planifie une interrogation de la source d'événement toutes les 180 secondes. Si le cycle d'interrogation précédent est toujours en cours, il est nécessaire d'attendre qu'il se termine. Si vous avez un grand nombre de sources d'événements à interroger, il se peut que l'opération d'interrogation mette plus de 180 secondes avant de démarrer car les threads sont occupés.
Afficher les événementsActivez cette case à cocher pour demander l'affichage des événements à partir de la source de l'événement.
  • Case à cocher activée (par défaut) ‐ Log Collector demande l'affichage des événements à partir de la source de l'événement.
  • Case à cocher désactivée ‐ Log Collector ne demande pas l'affichage des événements à partir de la source de l'événement.
AnnulerFerme la boîte de dialogue sans ajouter la source d'événement Windows.
OKAjoute les valeurs de paramétrage actuelles en tant que nouvelle source d'événement.

Panneau Hôtes

Le panneau Hôtes répertorie les hôtes de sources d'événements Windows existants. Utilisez cette section pour ajouter ou supprimer des hôtes de sources d'événements Windows (à savoir l'adresse source de l'événement Windows et les paramètres de communication associés).

Barre d'outils

Le tableau ci-dessous fournit la description des options contenues dans les barres d'outils.

                      
OptionDescription :
Icon-Add.pngAffiche la boîte de dialogue Ajouter un hôte dans laquelle vous définissez les paramètres d'un hôte pour la source d'événement sélectionnée dans le panneau Catégories d'événements.
Icon_Delete_sm.pngSupprime l'hôte de source d'événement que vous avez sélectionné.
icon-edit.pngAffiche la boîte de dialogue Modifier l'hôte dans laquelle vous modifiez les paramètres de la source d'événement Windows sélectionnée.
Lorsque plusieurs sources d'événements sont sélectionnées, ouvrez la boîte de dialogue Modifier la source en bloc, qui permet de modifier les valeurs de paramètres des hôtes sélectionnés. 
Consultez la rubrique Importer, exporter et modifier des sources d'événements en bloc dans le Guide de configuration de Log Collection pour obtenir les étapes détaillées sur la façon d'utiliser cette fonction.
ImportSourceIcon.PNGOuvre la boîte de dialogue Option d'ajout en bloc permettant d'importer en bloc les sources d'événements contenues dans un fichier CSV.  La boîte de dialogue Option d'ajout en bloc contient les deux options suivantes.

Consultez la rubrique Importer, exporter et modifier des sources d'événements en bloc dans le Guide de configuration de Log Collection pour obtenir les étapes détaillées sur la façon d'utiliser cette fonction.
ExportSourceIcon.PNGCrée un fichier .csv contenant les paramètres des sources d'événements sélectionnées.
Consultez la rubrique Importer, exporter et modifier des sources d'événements en bloc dans le Guide de configuration de Log Collection pour obtenir les étapes détaillées sur la façon d'utiliser cette fonction.
testConnection.PNGValide l'adresse de la source de l'événement pour les hôtes sélectionnés.

Boîte de dialogue Ajouter un hôte

Le tableau cidessous fournit les descriptions des fonctionnalités de la boîte de dialogue Ajouter un hôte.

                                                        
ColonneDescription :
Basique
Adresse de la source d'événement*Adresse IP de la source d'événement. La valeur valide est une adresse IPv4, une adresse IPv6 ou un nom d'hôte incluant un nom de domaine complet. Log Collector convertit le nom d'hôte en lettres minuscules pour éviter les doublons.
PortNuméro de port. Le numéro de port est valide s'il s'agit d'un nombre compris entre 1 et 65535.
  • WinRM 2.0 (Vista et les versions ultérieures) utilise par défaut les ports 5985 pour une connexion http, et 5986 pour une connexion https.
  • WinRM 1.1 (Windows 2003) utilise par défaut les ports 80 pour une connexion http, et 443 pour une connexion https.
Mode de transporttransport-mode [par exemple, http (valeur par défaut)]. Les modes de transport valides sont les suivants :
  • http (par défaut) ‐ connexion non sécurisée
  • https ‐ connexion sécurisée
EnabledCochez cette case pour effectuer une collecte à partir de cette source d'événement. Si vous ne cochez pas cette case, le Log Collector ne collectera pas les événements de cette source d'événements.
Nom du certificatNom du certificat à utiliser lorsque le mode de transport est de type https. Si cette option est définie, le certificat doit exister dans le magasin d'approbations de certificats. Vous devez ajouter les certificats au magasin d'approbations dans le panneau Certificats sous l'onglet Paramètres.
Avancé 
Debug

Attention : N'activez le débogage (paramètre défini sur On ou Verbose) que si vous rencontrez un problème avec cette source d'événement et que vous recherchez une solution pour corriger le problème. L'activation du débogage risque d'affecter les performances du Log Collector de manière défavorable.

Active ou désactive la consignation du débogage pour la source d'événement. Les valeurs autorisées sont les suivantes :
  • Off = (valeur par défaut) désactivée
  • On = activée
  • Verbose  = activée en mode détaillé. Ajoute aux messages des informations liées aux threads et au contexte de la source.
Ce paramètre est conçu pour déboguer et analyser les problèmes de collecte des sources d'événements isolés. Si vous modifiez cette valeur, la modification prendra effet immédiatement (aucun redémarrage nécessaire). Limitez le nombre de sources d'événements pour lesquelles vous utilisez le débogage Verbose pour réduire l'impact sur les performances.
Valider le serveurActivez cette case à cocher pour valider le Sujet dans le certificat de serveur. Le Sujet du certificat de serveur doit correspondre à l'adresse de la source de l'événement.
Afficher les paramètres régionauxSpécifiez les paramètres régionaux à utiliser pour l'affichage des événements.
Si vous ne spécifiez aucune valeur, la source de l'événement utilise ses paramètres régionaux par défaut. Dans la plupart des cas, les paramètres régionaux par défaut sont enUS.  La source de l'événement ne tient pas compte des paramètres régionaux non pris en charge. En outre, l'inscription échoue si les paramètres régionaux ne sont pas valides.
Type de Windows

(Paramètre facultatif) Indique si la source d'événement que vous avez configurée et à partir de laquelle vous effectuez une collecte est un contrôleur de domaine. Security Analytics utilise ce paramètre pour déterminer s'il doit envoyer les informations au processeur d'événements Identity (IDEP).

Si vous ne spécifiez pas ce paramètre, toutes les données sont envoyées au processeur IDEP.

Les valeurs autorisées sont les suivantes :

  • non définie - envoyer toutes les données au processeur IDEP
  • Contrôleur de non-domaine : la source d'événement que vous avez configurée et à partir de laquelle vous effectuez une collecte n'est pas un contrôleur de domaine.
  • Contrôleur de domaine : la source d'événement que vous avez configurée et à partir de laquelle vous effectuez une collecte est un contrôleur de domaine.
Résoudre les SIDRésoudre les identifiants SID
Activez cette case à cocher pour résoudre les identifiants SID de compte au niveau des attributs appropriés des événements collectés dans les noms de comptes. Cette case à cocher est activée par défaut.
Intervalle d'énumération SIDIntervalle (en secondes) selon lequel chaque source d'événement énumère des identifiants SID de compte. Les valeurs valides sont des entiers compris entre 0 et 86400. 14400 est la valeur par défaut.
Délai d'expiration de l'énumération SIDSaisissez la durée en secondes des opérations d'énumération des identifiants SID. Les valeurs valides sont des entiers compris entre 10 et 600. La valeur par défaut est 60.
Remplacer les canauxCe paramètre remplace le paramètre Canal de l'alias, que vous avez configuré dans la boîte de dialogue Ajouter une source pour tous les hôtes définis pour un alias Windows (source d'événement).  Si vous laissez le paramètre vide, Security Analytics utilise le paramètre Canal de l'alias.
Liste de canaux séparés par des virgules à partir de laquelle Security Analytics collecte des événements. Système, Application, Sécurité est la valeur par défaut de ce paramètre. Reportez-vous à « Déterminer le nom du canal dans la source d'événement Windows » dans Étape 1. Configurer des sources d'événements Windows dans Security Analyticspour connaître les noms de canaux appropriés à utiliser pour définir ce paramètre.
Vous pouvez utiliser des parenthèses pour inclure ou exclure des ID d'événement.  Le filtre d'exclusion doit contenir un caractère ^ entre le nom du canal et l'ID d'événement. Vous devez séparer les ID d'événement avec un caractère |.  Par exemple,  Application^(211|300), System(1010|1012)  exclut les événements Application 211 et 300 et inclut les événements System 1010 et 1012.
Un canal est un flux nommé d'événements qui transporte ces derniers d'un éditeur d'événements vers un fichier log des événements. Il existe de nombreux canaux Windows prédéfinis. Voici quelques exemples de canaux :
Système ‐ applications qui s'exécutent sous des comptes de service système (services système installés), des pilotes, des composants ou des applications avec des événements liés à l'intégrité du système.
Application ‐ toutes les applications de niveau utilisateur. Ce canal est non-sécurisé et reste ouvert à n'importe quelle application. Si une application comporte des informations détaillées, vous devez lui définir un canal qui lui est spécifique.
Sécurité ‐ le journal d'audit Windows (log d'événements) utilisé exclusivement pour l'Autorité de sécurité locale de Windows.
Tester la connexionValide la connexion à l'adresse de la source d'événement.
AnnulerFerme la boîte de dialogue sans ajouter la source d'événement Windows.
OKEnregistre les valeurs de paramètres actuelles en tant que nouvelle source d'événement.
You are here
Table of Contents > Guide de configuration de Windows Collection > Références - Paramètres de configuration de la collecte Windows > Paramètres de configuration des sources d'événements Windows

Attachments

    Outcomes