In diesem Thema erfahren Sie, wie Sie das Windows-Sammlungsprotokoll konfigurieren.
In RSA NetWitness Suite müssen Sie den Kerberos-Bereich konfigurieren und dann den Typ der Windows-Ereignisquelle hinzufügen.
So konfigurieren Sie den Kerberos-Bereich für die Windows-Sammlung:
- Navigieren Sie zu ADMIN > Services.
- Wählen Sie einen Protokollsammlungsservice aus.
- Wählen Sie unter „Aktionen“ die Optionen
> Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
-
Klicken Sie auf die Registerkarte Ereignisquellen.
- Wählen Sie Windows/Kerberos-Bereich im Drop-down-Menü aus.
-
Klicken Sie in der Symbolleiste des Bereichs „Kerberos-Bereichsnamenkonfiguration“ auf
, um einen neuen Bereich hinzuzufügen.
Das Dialogfeld „Kerberos-Domain hinzufügen“ wird angezeigt.
-
Geben Sie die Parameter anhand der folgenden Guidelines an.
-
Klicken Sie auf Speichern, um die Kerberos-Domain hinzuzufügen.
So fügen Sie eine Windows-Ereignisquelle hinzu:
- Navigieren Sie zu ADMIN > Services.
- Wählen Sie einen Protokollsammlungsservice aus.
- Wählen Sie unter „Aktionen“ die Optionen
> Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.
-
Klicken Sie auf die Registerkarte Ereignisquellen.
-
Wählen Sie auf der Registerkarte Ereignisquellen des Log Collector die Option Windows/Konfiguration im Drop-down-Menü aus.
Im Bereich Ereigniskategorien werden ggf. die konfigurierten VMware-Ereignisquellen angezeigt.
Fügen Sie dann vom aktuellen Bildschirm aus eine Windows-Ereigniskategorie und einen Windows-Ereignistyp hinzu.
So konfigurieren Sie den Windows-Ereignistyp:
-
Wählen Sie im Drop-down-Menü die Option Windows/Konfiguration aus.
-
Klicken Sie in der Symbolleiste des Bereichs „Ereigniskategorien“ auf
, um eine Quelle hinzuzufügen.
Das Dialogfeld „Quelle hinzufügen“ wird angezeigt.
-
Geben Sie die Parameter anhand der folgenden Guidelines an.
-
Klicken Sie auf OK, um die Quelle hinzuzufügen.
Die neu hinzugefügte Windows-Ereignisquelle wird im Bereich Ereigniskategorien angezeigt.
-
Wählen Sie die neue Ereignisquelle im Bereich „Ereigniskategorien“ aus.
Der Bereich Hosts wird aktiviert.
- Klicken Sie in der Symbolleiste des Bereichs „Hosts“ auf
.
-
Geben Sie die Parameter anhand der folgenden Guidelines an.
-
Klicken Sie auf Verbindung testen.
Hinweis: Sie sollten die Verbindung erfolgreich testen können, selbst wenn der Windows-Service nicht ausgeführt wird.
Weitere Informationen zu den vorherigen Schritten finden Sie in den folgenden Hilfethemen im NetWitness Suite-Benutzerhandbuch:
- Konfigurieren des Windows-Sammlungsprotokolls: https://community.rsa.com/docs/DOC-43410
- Microsoft WinRM-Konfigurationsleitfaden: https://community.rsa.com/docs/DOC-58163
- Leitfaden zum Testen und Troubleshooting von Microsoft WinRM: https://community.rsa.com/docs/DOC-58164