Configurer des sources d'événements Windows

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Ce guide indique comment configurer le protocole de collecte Windows.

Dans RSA NetWitness Suite, vous devez configurer le realm Kerberos, puis ajouter le type de source d'événement Windows.

Pour configurer le realm Kerberos pour la collecte Windows :

  1. Accédez à ADMIN > Services.
  2. Sélectionnez un service de collecte de logs.
  3. Sous Actions, sélectionnez  > Vue > Config pour afficher les onglets des paramètres de configuration de collecte de logs.
  4. Cliquez sur l'onglet Sources d'événements.

    Event Sources tab is displayed.

  5. Sélectionnez Realm Kerberos/Windows dans le menu déroulant.
  6. Dans la barre d'outils du panneau de Configuration du realm Kerberos, cliquez sur pour ajouter un nouveau realm.

    La boîte de dialogue Ajouter un domaine Kerberos s'affiche.

  7. Renseignez les paramètres, en suivant les instructions ci-dessous.

                           
    ParamètreDétails

    Nom du realm Kerberos

    Saisissez le nom de realm, tout en majuscules. Par exemple, DSNETWORKING.COM. Notez que le paramètre Mappages est automatiquement rempli avec des variantes du nom de realm.

    Nom de l'hôte KDC

    Saisissez le nom du contrôleur de domaine. N'utilisez pas de nom complet ici, simplement le nom d'hôte du contrôleur de domaine.

    Remarque : Assurez-vous que le Log Collector est configuré comme client DNS pour le serveur DNS d'entreprise. Dans le cas contraire, le Log Collector ne saura pas comment rechercher le realm Kerberos.

    Serveur d'administration

    (Facultatif) Nom du serveur d'administration Kerberos au format FQDN.

  8. Cliquez sur Enregistrer pour ajouter le domaine Kerberos.

Pour ajouter une source d'événements Windows

  1. Accédez à ADMIN > Services.
  2. Sélectionnez un service de collecte de logs.
  3. Sous Actions, sélectionnez  > Vue > Config pour afficher les onglets des paramètres de configuration de collecte de logs.
  4. Cliquez sur l'onglet Sources d'événements.

  1. Sous l'onglet Sources d'événements du Log Collector, sélectionnez Windows/Config dans le menu déroulant.

    Le panneau Catégories d'événements affiche les sources d'événements VMware qui sont configurées, le cas échéant.

Ensuite, poursuivez à partir de l'écran actuel pour ajouter une catégorie et un type d'événements Windows.

Pour configurer un type d'événement Windows :

  1. Sélectionnez Windows/Configuration dans le menu déroulant.

  2. Dans la barre d'outils du panneau Catégories d'événements , cliquez sur pour ajouter une source.

    La boîte de dialogue Ajouter une source s'affiche.

  3. Renseignez les paramètres, en suivant les instructions ci-dessous.

                                           
    ParamètreDétails

    Alias

    Saisissez un nom descriptif.

    Méthode d'authentification

    Choisissez Négocier.

    Canal

    Pour la plupart des sources d'événements qui utilisent la collecte Windows, il est souhaitable de collecter les canaux Sécurité, Système, et Application.

    Nom d'utilisateur

    Saisissez le nom du compte pour le compte utilisateur Windows que vous avez configuré précédemment pour la communication avec NetWitness. Notez que vous devez saisir le nom complet du compte, qui inclut le domaine. Par exemple, rsalog@DSNETWORKING.COM.

    Mot de passe

    Saisissez le mot de passe du compte utilisateur.

    Nbre max. d'événements par cycle

    (Facultatif). RSA recommande de définir cette valeur sur 0, ce qui permet de collecter tous les éléments.

    Intervalle d'interrogation

    (Facultatif). Pour la plupart des utilisateurs, la valeur 60 devrait fonctionner correctement.

  4. Cliquez sur OK pour ajouter la source.

    La source d'événement Windows nouvellement ajoutée s'affiche dans le panneau Catégories d'événements.

  5. Sélectionnez la nouvelle source d'événement dans le panneau Catégories d'événements.

    Le panneau Hôtes est activé.

  6. Cliquez sur dans la barre d'outils du panneau Hôtes.
  7. Renseignez les paramètres, en suivant les instructions ci-dessous.

                               
    ParamètreDétails

    Adresse de la source d'événement

    Saisissez l'adresse IP de l'hôte Windows.

    Port

    Acceptez la valeur par défaut, 5985.

    Mode de transport

    Saisissez http.

    Activé

    Assurez-vous que la case à cocher est activée.

  8. Cliquez sur Tester la connexion.

    Remarque : Vous devriez pouvoir tester la connexion même si le service de Windows n'est pas en cours d'exécution.

Pour plus d'informations sur l'une des étapes précédentes, consultez les rubriques d'aide suivantes dans le Guide d'utilisation NetWitness Suite :

You are here
Table of Contents > Protocole de collecte > Configurer des sources d'événements Windows

Attachments

    Outcomes