Konfigurieren von Windows-Ereignisquellen

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

In diesem Thema erfahren Sie, wie Sie das Windows-Sammlungsprotokoll konfigurieren.

In RSA NetWitness Suite müssen Sie den Kerberos-Bereich konfigurieren und dann den Typ der Windows-Ereignisquelle hinzufügen.

So konfigurieren Sie den Kerberos-Bereich für die Windows-Sammlung:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie einen Protokollsammlungsservice aus.
  3. Wählen Sie unter „Aktionen“ die Optionen > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Klicken Sie auf die Registerkarte Ereignisquellen.

    Event Sources tab is displayed.

  5. Wählen Sie Windows/Kerberos-Bereich im Drop-down-Menü aus.
  6. Klicken Sie in der Symbolleiste des Bereichs „Kerberos-Bereichsnamenkonfiguration“ auf , um einen neuen Bereich hinzuzufügen.

    Das Dialogfeld „Kerberos-Domain hinzufügen“ wird angezeigt.

  7. Geben Sie die Parameter anhand der folgenden Guidelines an.

                           
    ParameterDetails

    Kerberos-Bereichsname

    Geben Sie den Bereichsnamen in Großbuchstaben ein. Beispiel: DSNETWORKING.COM. Beachten Sie, dass die Parameter unter „Zuordnungen“ automatisch mit Variationen des Bereichsnamens ausgefüllt werden.

    KDC-Hostname

    Geben Sie den Namen des Domaincontroller ein. Verwenden Sie hier nicht einen vollständig qualifizierten Namen: Geben Sie einfach nur den Hostnamen des Domain-Controllers ein.

    Hinweis: Vergewissern Sie sich, dass der Log Collector als DNS-Client für den Unternehmens-DNS-Server konfiguriert ist. Andernfalls hat der Log Collector keine Möglichkeit, den Kerberos-Bereich zu suchen.

    Admin-Server

    (Optional) Der Name des Kerberos-Administrationsservers im FQDN-Format.

  8. Klicken Sie auf Speichern, um die Kerberos-Domain hinzuzufügen.

So fügen Sie eine Windows-Ereignisquelle hinzu:

  1. Navigieren Sie zu ADMIN > Services.
  2. Wählen Sie einen Protokollsammlungsservice aus.
  3. Wählen Sie unter „Aktionen“ die Optionen > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
  4. Klicken Sie auf die Registerkarte Ereignisquellen.

  1. Wählen Sie auf der Registerkarte Ereignisquellen des Log Collector die Option Windows/Konfiguration im Drop-down-Menü aus.

    Im Bereich Ereigniskategorien werden ggf. die konfigurierten VMware-Ereignisquellen angezeigt.

Fügen Sie dann vom aktuellen Bildschirm aus eine Windows-Ereigniskategorie und einen Windows-Ereignistyp hinzu.

So konfigurieren Sie den Windows-Ereignistyp:

  1. Wählen Sie im Drop-down-Menü die Option Windows/Konfiguration aus.

  2. Klicken Sie in der Symbolleiste des Bereichs „Ereigniskategorien“ auf , um eine Quelle hinzuzufügen.

    Das Dialogfeld „Quelle hinzufügen“ wird angezeigt.

  3. Geben Sie die Parameter anhand der folgenden Guidelines an.

                                           
    ParameterDetails

    Alias

    Geben Sie einen beschreibenden Namen ein.

    Autorisierungsmethode

    Wählen Sie Verhandeln aus.

    Channel

    Für die meisten Ereignisquellen, die die Windows-Sammlung verwenden, sollten Sie Daten aus den Kanälen Sicherheit, System und Anwendung sammeln.

    Benutzername

    Geben Sie den Kontonamen für das Windows-Benutzerkonto ein, das Sie zuvor für die Kommunikation mit NetWitness festgelegt haben. Beachten Sie, dass Sie den vollständigen Kontonamen eingeben müssen, der die Domain enthält. Beispiel: rsalog@DSNETWORKING.COM.

    Passwort

    Geben Sie das richtige Passwort für das Benutzerkonto ein.

    Max. Ereignisse pro Zyklus

    (Optional). RSA empfiehlt, dass Sie diesen Wert auf 0 festlegen, mit dem alles gesammelt wird.

    Polling-Intervall

    (Optional). Für die meisten Benutzer sollte ein Wert von 60 ausreichen.

  4. Klicken Sie auf OK, um die Quelle hinzuzufügen.

    Die neu hinzugefügte Windows-Ereignisquelle wird im Bereich Ereigniskategorien angezeigt.

  5. Wählen Sie die neue Ereignisquelle im Bereich „Ereigniskategorien“ aus.

    Der Bereich Hosts wird aktiviert.

  6. Klicken Sie in der Symbolleiste des Bereichs „Hosts“ auf .
  7. Geben Sie die Parameter anhand der folgenden Guidelines an.

                               
    ParameterDetails

    Ereignisquellenadresse

    Geben Sie die IP-Adresse des Windows-Hosts ein.

    Port

    Übernehmen Sie den Standardwert 5985.

    Transportmodus

    Geben Sie http ein.

    Aktiviert

    Vergewissern Sie sich, dass das Kontrollkästchen aktiviert ist.

  8. Klicken Sie auf Verbindung testen.

    Hinweis: Sie sollten die Verbindung erfolgreich testen können, selbst wenn der Windows-Service nicht ausgeführt wird.

Weitere Informationen zu den vorherigen Schritten finden Sie in den folgenden Hilfethemen im NetWitness Suite-Benutzerhandbuch:

You are here
Table of Contents > Sammlungsprotokolle > Konfigurieren von Windows-Ereignisquellen

Attachments

    Outcomes