Configurar orígenes de eventos de Windows

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

En este tema se describe cómo configurar el protocolo de recopilación de Windows.

En RSA NetWitness Suite, debe configurar el dominio Kerberos y, a continuación, agregar el tipo de origen de eventos de Windows.

Para configurar el dominio Kerberos para la recopilación de Windows:

  1. Vaya a ADMINISTRAR > Servicios.
  2. Seleccione un servicio de recopilación de registros.
  3. En Acciones, seleccione > Ver > Configuración para mostrar las pestañas de parámetros de configuración de Log Collection.
  4. Haga clic en la pestaña Orígenes de eventos.

    Event Sources tab is displayed.

  5. Seleccione Dominio Windows/Kerberos en el menú desplegable.
  6. En la barra de herramientas del panel de configuración del dominio Kerberos, haga clic en para agregar un dominio nuevo.

    Se muestra el cuadro de diálogo Agregar dominio Kerberos.

  7. Complete los parámetros con las siguientes reglas.

                           
    ParámetroDetalles

    Nombre de dominio Kerberos

    Ingrese el nombre de dominio, todo en mayúsculas. Por ejemplo, DSNETWORKING.COM. Tenga en cuenta que el parámetro Mapeos se rellena automáticamente con variaciones en el nombre de dominio.

    Nombre de host KDC

    Ingrese el nombre de la controladora de dominio. No use un nombre completamente calificado aquí: solo el nombre de host para la DC.

    Nota: Asegúrese de que el Log Collector esté configurado como un cliente DNS para el servidor DNS corporativo. De lo contrario, el Log Collector no sabrá cómo encontrar el dominio Kerberos.

    Servidor de Admin

    (Opcional) El nombre del servidor de administración de Kerberos en formato de nombre de dominio calificado.

  8. Haga clic en Guardar para agregar el dominio Kerberos.

Para agregar un origen de eventos de Windows:

  1. Vaya a ADMINISTRAR > Servicios.
  2. Seleccione un servicio de recopilación de registros.
  3. En Acciones, seleccione > Ver > Configuración para mostrar las pestañas de parámetros de configuración de Log Collection.
  4. Haga clic en la pestaña Orígenes de eventos.

  1. En la pestaña Orígenes de eventos de Log Collector, seleccione Windows/Configurar en el menú desplegable.

    En el panel Categorías de evento se muestran los orígenes de eventos de VMware que están configurados, si los hay.

A continuación, siga desde la pantalla actual para agregar un tipo y una categoría de evento de Windows.

Para configurar el tipo de evento de Windows:

  1. Seleccione Windows/Configuración en el menú desplegable.

  2. En la barra de herramientas del panel Categorías de evento, haga clic en para agregar un origen.

    Se muestra el cuadro de diálogo Agregar origen.

  3. Complete los parámetros con las siguientes reglas.

                                           
    ParámetroDetalles

    Alias

    Ingrese un nombre descriptivo.

    Método de autorización

    Elija Negociar.

    Canal

    En el caso de la mayoría de los orígenes de eventos que usan la recopilación de Windows, desea recopilar los canales de seguridad, sistema y aplicación.

    Nombre de usuario

    Ingrese el nombre de cuenta para la cuenta de usuario de Windows que configuró anteriormente para la comunicación con NetWitness. Tenga en cuenta que debe ingresar el nombre de cuenta completo, que incluye el dominio. Por ejemplo, rsalog@DSNETWORKING.COM.

    Contraseña

    Ingrese la contraseña correcta para la cuenta de usuario.

    Máximo de eventos por ciclo

    (Opcional). RSA recomienda configurar este valor en 0, lo cual recopila todo.

    Intervalo de sondeo

    (Opcional). Para la mayoría de los usuarios, un valor de 60 debe funcionar bien.

  4. Haga clic en Aceptar para agregar el origen.

    El origen de eventos de Windows recién agregado se muestra en el panel Categorías de evento.

  5. Seleccione el nuevo origen de eventos en el panel Categorías de evento.

    El panel Hosts está activado.

  6. Haga clic en en la barra de herramientas del panel Hosts.
  7. Complete los parámetros con las siguientes reglas.

                               
    ParámetroDetalles

    Dirección de origen de evento

    Ingrese la dirección IP del host de Windows.

    Puerto

    Acepte el valor predeterminado, 5985.

    Modo de transporte

    Ingrese http.

    Habilitado

    Asegúrese de que esté seleccionada la casilla.

  8. Haga clic en Probar conexión.

    Nota: Podrá probar correctamente la conexión, incluso si no se ejecuta el servicio de Windows.

Para obtener más información sobre cualquiera de los pasos anteriores, consulte los siguientes temas de ayuda en la Guía del usuario de NetWitness Suite:

You are here
Table of Contents > Protocolos de recopilación > Configurar orígenes de eventos de Windows

Attachments

    Outcomes