Konfigurieren von Windows-Ereignisquellen

In diesem Thema erfahren Sie, wie Sie das Windows-Sammlungsprotokoll konfigurieren.

In RSA NetWitness Suite müssen Sie den Kerberos-Bereich konfigurieren und dann den Typ der Windows-Ereignisquelle hinzufügen.

So konfigurieren Sie den Kerberos-Bereich für die Windows-Sammlung:

1. Navigieren Sie zu ADMIN > Services.
2. Wählen Sie einen Protokollsammlungsservice aus.
3. Wählen Sie unter „Aktionen“ die Optionen > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.

4. Klicken Sie auf die Registerkarte Ereignisquellen.

   

5. Wählen Sie Windows/Kerberos-Bereich im Drop-down-Menü aus.

6. Klicken Sie in der Symbolleiste des Bereichs „Kerberos-Bereichsnamenkonfiguration“ auf , um einen neuen Bereich hinzuzufügen.

   Das Dialogfeld „Kerberos-Domain hinzufügen“ wird angezeigt.

7. Geben Sie die Parameter anhand der folgenden Guidelines an.

                          

   Parameter	Details
   Kerberos-Bereichsname	Geben Sie den Bereichsnamen in Großbuchstaben ein. Beispiel: DSNETWORKING.COM. Beachten Sie, dass die Parameter unter „Zuordnungen“ automatisch mit Variationen des Bereichsnamens ausgefüllt werden.
   KDC-Hostname	Geben Sie den Namen des Domaincontroller ein. Verwenden Sie hier nicht einen vollständig qualifizierten Namen: Geben Sie einfach nur den Hostnamen des Domain-Controllers ein. Hinweis: Vergewissern Sie sich, dass der Log Collector als DNS-Client für den Unternehmens-DNS-Server konfiguriert ist. Andernfalls hat der Log Collector keine Möglichkeit, den Kerberos-Bereich zu suchen.
   Admin-Server	(Optional) Der Name des Kerberos-Administrationsservers im FQDN-Format.

8. Klicken Sie auf Speichern, um die Kerberos-Domain hinzuzufügen.

So fügen Sie eine Windows-Ereignisquelle hinzu:

1. Navigieren Sie zu ADMIN > Services.
2. Wählen Sie einen Protokollsammlungsservice aus.
3. Wählen Sie unter „Aktionen“ die Optionen > Ansicht > Konfiguration aus, um die Registerkarte mit den Konfigurationsparametern für die Protokollsammlung anzuzeigen.

4. Klicken Sie auf die Registerkarte Ereignisquellen.

5. Wählen Sie auf der Registerkarte Ereignisquellen des Log Collector die Option Windows/Konfiguration im Drop-down-Menü aus.

   Im Bereich Ereigniskategorien werden ggf. die konfigurierten VMware-Ereignisquellen angezeigt.

Fügen Sie dann vom aktuellen Bildschirm aus eine Windows-Ereigniskategorie und einen Windows-Ereignistyp hinzu.

So konfigurieren Sie den Windows-Ereignistyp:

1. Wählen Sie im Drop-down-Menü die Option Windows/Konfiguration aus.

2. Klicken Sie in der Symbolleiste des Bereichs „Ereigniskategorien“ auf , um eine Quelle hinzuzufügen.

   Das Dialogfeld „Quelle hinzufügen“ wird angezeigt.

3. Geben Sie die Parameter anhand der folgenden Guidelines an.

                                          

   Parameter	Details
   Alias	Geben Sie einen beschreibenden Namen ein.
   Autorisierungsmethode	Wählen Sie Verhandeln aus.
   Channel	Für die meisten Ereignisquellen, die die Windows-Sammlung verwenden, sollten Sie Daten aus den Kanälen Sicherheit, System und Anwendung sammeln.
   Benutzername	Geben Sie den Kontonamen für das Windows-Benutzerkonto ein, das Sie zuvor für die Kommunikation mit NetWitness festgelegt haben. Beachten Sie, dass Sie den vollständigen Kontonamen eingeben müssen, der die Domain enthält. Beispiel: rsalog@DSNETWORKING.COM.
   Passwort	Geben Sie das richtige Passwort für das Benutzerkonto ein.
   Max. Ereignisse pro Zyklus	(Optional). RSA empfiehlt, dass Sie diesen Wert auf 0 festlegen, mit dem alles gesammelt wird.
   Polling-Intervall	(Optional). Für die meisten Benutzer sollte ein Wert von 60 ausreichen.

4. Klicken Sie auf OK, um die Quelle hinzuzufügen.

   Die neu hinzugefügte Windows-Ereignisquelle wird im Bereich Ereigniskategorien angezeigt.

5. Wählen Sie die neue Ereignisquelle im Bereich „Ereigniskategorien“ aus.

   Der Bereich Hosts wird aktiviert.

6. Klicken Sie in der Symbolleiste des Bereichs „Hosts“ auf .

7. Geben Sie die Parameter anhand der folgenden Guidelines an.

                              

   Parameter	Details
   Ereignisquellenadresse	Geben Sie die IP-Adresse des Windows-Hosts ein.
   Port	Übernehmen Sie den Standardwert 5985.
   Transportmodus	Geben Sie http ein.
   Aktiviert	Vergewissern Sie sich, dass das Kontrollkästchen aktiviert ist.

8. Klicken Sie auf Verbindung testen.

   Hinweis: Sie sollten die Verbindung erfolgreich testen können, selbst wenn der Windows-Service nicht ausgeführt wird.

Weitere Informationen zu den vorherigen Schritten finden Sie in den folgenden Hilfethemen im NetWitness Suite-Benutzerhandbuch:

• Konfigurieren des Windows-Sammlungsprotokolls: https://community.rsa.com/docs/DOC-43410
• Microsoft WinRM-Konfigurationsleitfaden: https://community.rsa.com/docs/DOC-58163
• Leitfaden zum Testen und Troubleshooting von Microsoft WinRM: https://community.rsa.com/docs/DOC-58164