Share via

Configurazione di una sottoscrizione avviata dall'origine

  • Articolo

Le sottoscrizioni avviate dall'origine consentono di definire una sottoscrizione in un computer dell'agente di raccolta eventi senza definire i computer di origine eventi e quindi è possibile configurare più computer origine eventi remoti (usando un'impostazione di Criteri di gruppo) per inoltrare gli eventi al computer dell'agente di raccolta eventi. Ciò è diverso da una sottoscrizione avviata dall'agente di raccolta perché nel modello di sottoscrizione avviato dall'agente di raccolta, l'agente di raccolta eventi deve definire tutte le origini eventi nella sottoscrizione di eventi.

Quando si configura una sottoscrizione avviata dall'origine, valutare se i computer dell'origine evento si trovano nello stesso dominio del computer dell'agente di raccolta eventi. Le sezioni seguenti descrivono i passaggi da seguire quando le origini eventi si trovano nello stesso dominio o non nello stesso dominio del computer dell'agente di raccolta eventi.

Nota

Qualsiasi computer in un dominio, locale o remoto, può essere un agente di raccolta eventi. Tuttavia, quando si sceglie un agente di raccolta eventi, è importante selezionare un computer che sia topologicamente vicino a dove verrà generata la maggior parte degli eventi. L'invio di eventi a un computer in un percorso di rete distante in una rete WAN può ridurre le prestazioni complessive e l'efficienza nella raccolta di eventi.

Configurazione di una sottoscrizione avviata dall'origine in cui le origini eventi si trovano nello stesso dominio del computer dell'agente di raccolta eventi

Sia i computer dell'origine eventi che il computer dell'agente di raccolta eventi devono essere configurati per configurare una sottoscrizione avviata dall'origine.

Nota

Queste istruzioni presuppongono che l'utente disponga dell'accesso amministratore al controller di dominio di Windows Server che gestisce il dominio in cui il computer remoto o i computer verranno configurati per raccogliere gli eventi.

Configurazione del computer di origine eventi

  1. Eseguire il comando seguente da un prompt dei comandi con privilegi elevati nel controller di dominio di Windows Server per configurare Gestione remota Windows:

    winrm qc -q

  2. Avviare i criteri di gruppo eseguendo il comando seguente:

    %SYSTEMROOT%\System32\gpedit.msc

  3. Nel nodo Configurazione computer espandere il nodo Modelli amministrativi , quindi espandere il nodo Componenti di Windows , quindi selezionare il nodo Inoltro eventi .

  4. Fare clic con il pulsante destro del mouse sull'impostazione SubscriptionManager e scegliere Proprietà. Abilitare l'impostazione SubscriptionManager e fare clic sul pulsante Mostra per aggiungere un indirizzo del server all'impostazione. Aggiungere almeno un'impostazione che specifica il computer dell'agente di raccolta eventi. La finestra Proprietà SubscriptionManager contiene una scheda Spiegazione che descrive la sintassi per l'impostazione.

  5. Dopo aver aggiunto l'impostazione SubscriptionManager , eseguire il comando seguente per assicurarsi che i criteri vengano applicati:

    gpupdate /force

Configurazione del computer dell'agente di raccolta eventi

  1. Eseguire il comando seguente da un prompt dei comandi con privilegi elevati nel controller di dominio di Windows Server per configurare Gestione remota Windows:

    winrm qc -q

  2. Eseguire il comando seguente per configurare il servizio Agente di raccolta eventi:

    wecutil qc /q

  3. Creare una sottoscrizione avviata dall'origine. Questa operazione può essere eseguita a livello di codice usando il Visualizzatore eventi oppure usando Wecutil.exe. Per altre informazioni su come creare la sottoscrizione a livello di codice, vedere l'esempio di codice in Creazione di una sottoscrizione avviata dall'origine. Se si usa Wecutil.exe, è necessario creare un file XML della sottoscrizione di eventi e usare il comando seguente:

    wecutil csconfigurationFile.xml

    Il codice XML seguente è un esempio del contenuto di un file di configurazione della sottoscrizione che crea una sottoscrizione avviata dall'origine per inoltrare gli eventi dal registro eventi dell'applicazione di un computer remoto al log ForwardedEvents nel computer dell'agente di raccolta eventi.

    <Subscription xmlns="http://schemas.microsoft.com/2006/03/windows/events/subscription">
    <SubscriptionId>SampleSISubscription</SubscriptionId>
    <SubscriptionType>SourceInitiated</SubscriptionType>
    <Description>Source Initiated Subscription Sample</Description>
    <Enabled>true</Enabled>
    <Uri>http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog</Uri>

    <!-- Use Normal (default), Custom, MinLatency, MinBandwidth -->
    <ConfigurationMode>Custom</ConfigurationMode>

    <Delivery Mode="Push">
        <Batching>
            <MaxItems>1</MaxItems>
            <MaxLatencyTime>1000</MaxLatencyTime>
        </Batching>
        <PushSettings>
            <Heartbeat Interval="60000"/>
        </PushSettings>
    </Delivery>

    <Expires>2018-01-01T00:00:00.000Z</Expires>

    <Query>
        <![CDATA[
            <QueryList>
                <Query Path="Application">
                    <Select>Event[System/EventID='999']</Select>
                </Query>
            </QueryList>
        ]]>
    </Query>

    <ReadExistingEvents>true</ReadExistingEvents>
    <TransportName>http</TransportName>
    <ContentFormat>RenderedText</ContentFormat>
    <Locale Language="en-US"/>
    <LogFile>ForwardedEvents</LogFile>
    <AllowedSourceNonDomainComputers></AllowedSourceNonDomainComputers>
    <AllowedSourceDomainComputers>O:NSG:NSD:(A;;GA;;;DC)(A;;GA;;;NS)</AllowedSourceDomainComputers>
</Subscription>

    Nota

    Quando si crea una sottoscrizione avviata dall'origine, se AllowedSourceDomainComputers, AllowedSourceNonDomainComputers/IssuerCAList, AllowedSubjectList e DeniedSubjectList sono tutti vuoti, "O:NSG:NSD:(A;; GA;;;D C)(A;; GA;;; NS)" verrà usato come descrittore di sicurezza predefinito per AllowedSourceDomainComputers. Il descrittore predefinito concede ai membri del gruppo di dominio Domain Computers, nonché al gruppo di servizi di rete locale (per il server d'inoltro locale), la possibilità di generare eventi per questa sottoscrizione.

Per verificare che la sottoscrizione funzioni correttamente

  1. Nel computer dell'agente di raccolta eventi completare i passaggi seguenti:

    1. Eseguire il comando seguente da un prompt dei comandi con privilegi elevati nel controller di dominio di Windows Server per ottenere lo stato di runtime della sottoscrizione:

      wecutil gr<subscriptionID>

    2. Verificare che l'origine evento sia connessa. Potrebbe essere necessario attendere il completamento dell'intervallo di aggiornamento specificato nei criteri dopo aver creato la sottoscrizione per la connessione dell'origine evento.

    3. Eseguire il comando seguente per ottenere le informazioni sulla sottoscrizione:

      wecutil gs<subscriptionID>

    4. Ottenere il valore DeliveryMaxItems dalle informazioni sulla sottoscrizione.

  2. Nel computer di origine eventi generare gli eventi che corrispondono alla query dalla sottoscrizione di eventi. Il numero di eventi DeliveryMaxItems deve essere generato affinché gli eventi vengano inoltrati.

  3. Nel computer dell'agente di raccolta eventi verificare che gli eventi siano stati inoltrati al log ForwardedEvents o al log specificato nella sottoscrizione.

Inoltro del log di sicurezza

Per poter inoltrare il log di sicurezza, è necessario aggiungere l'account DEL SERVIZIO DI RETE al gruppo Lettori di EventLog.

Configurazione di una sottoscrizione avviata dall'origine in cui le origini eventi non si trovano nello stesso dominio del computer dell'agente di raccolta eventi

Nota

Queste istruzioni presuppongono che l'utente disponga dell'accesso come amministratore a un controller di dominio di Windows Server. In questo caso, poiché il computer o i computer dell'agente di raccolta eventi remoti non si trovano nel dominio gestito dal controller di dominio, è essenziale avviare un singolo client impostando Gestione remota Windows su "automatico" tramite Servizi (services.msc). In alternativa, è possibile eseguire "winrm quickconfig" in ogni client remoto.

Prima della creazione della sottoscrizione, è necessario soddisfare i prerequisiti seguenti.

  1. Nel computer dell'agente di raccolta eventi eseguire i comandi seguenti da un prompt dei comandi con privilegi elevati per configurare Gestione remota Windows e il servizio Agente di raccolta eventi:

    winrm qc -q

    wecutil qc /q

  2. Il computer agente di raccolta deve avere un certificato di autenticazione server (certificato con scopo di autenticazione server) in un archivio certificati del computer locale.

  3. Nel computer di origine eventi eseguire il comando seguente per configurare Gestione remota Windows:

    winrm qc -q

  4. Il computer di origine deve avere un certificato di autenticazione client (certificato con scopo di autenticazione client) in un archivio certificati del computer locale.

  5. La porta 5986 viene aperta nel computer dell'agente di raccolta eventi. Per aprire questa porta, eseguire il comando :

    netsh firewall add portopening TCP 5986 "Winrm HTTPS Remote Management"

Requisiti dei certificati

  • È necessario installare un certificato di autenticazione server nel computer dell'agente di raccolta eventi nell'archivio personale del computer locale. L'oggetto di questo certificato deve corrispondere al nome di dominio completo dell'agente di raccolta.

  • È necessario installare un certificato di autenticazione client nei computer origine eventi nell'archivio personale del computer locale. L'oggetto di questo certificato deve corrispondere al nome di dominio completo del computer.

  • Se il certificato client è stato emesso da un'autorità di certificazione diversa da quella dell'agente di raccolta eventi, tali certificati radice e intermedi devono essere installati anche nell'agente di raccolta eventi.

  • Se il certificato client è stato emesso da un'autorità di certificazione intermedia e l'agente di raccolta esegue Windows 2012 o versione successiva, sarà necessario configurare la chiave del Registro di sistema seguente:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\ClientAuthTrustMode (DWORD) = 2

  • Verificare che sia il server che il client siano in grado di controllare correttamente lo stato di revoca in tutti i certificati. L'uso del comando certutil consente di risolvere eventuali errori.

Per altre informazioni, vedere questo articolo: https://technet.microsoft.com/library/dn786429(v=ws.11).aspx

Configurare il listener nell'agente di raccolta eventi

  1. Impostare l'autenticazione del certificato con il comando seguente:

    winrm set winrm/config/service/auth @{Certificate="true"}

  2. Nel computer dell'agente di raccolta eventi deve esistere un listener HTTPS WinRM con la stampa personale del certificato di autenticazione server. Questa operazione può essere verificata con il comando seguente:

    winrm e winrm/config/listener

  3. Se il listener HTTPS non viene visualizzato o se la stampa personale del listener HTTPS non corrisponde alla stampa personale del certificato di autenticazione server nel computer dell'agente di raccolta, è possibile eliminare tale listener e crearne uno nuovo con la stampa personale corretta. Per eliminare il listener https, usare il comando seguente:

    winrm delete winrm/config/Listener? Address=*+Transport=HTTPS

    Per creare un nuovo listener, usare il comando seguente:

    winrm create winrm/config/Listener? Address=*+Transport=HTTPS @{Hostname="<FQDN dell'agente di raccolta>"; CertificateThumbprint="<Stampa personale del certificato> di autenticazione server"}

Configurare il mapping dei certificati nell'agente di raccolta eventi

  1. Creare un nuovo utente locale.

  2. Creare il mapping dei certificati usando un certificato presente nelle "Autorità di certificazione radice attendibili" o "Autorità di certificazione intermedie".

    Si tratta del certificato della CA radice o intermedia che ha emesso i certificati installati nei computer origine eventi (per evitare confusione, questa è la CA immediatamente sopra il certificato nella catena di certificati):

    winrm create winrm/config/service/certmapping? Issuer=<Thumbprint del certificato> CA emittente+Subject=*+URI=* @{UserName="<username>"; Password="password>"<} -remote:localhost

  3. Da un client testare il listener e il mapping dei certificati con il comando seguente:

    winrm g winrm/config -r:https://< FQDN >dell'agente di raccolta eventi:5986 -a:certificate -certificate:"<Identificazione personale del certificato> di autenticazione client "

    Verrà restituita la configurazione WinRM dell'agente di raccolta eventi. Non passare da questo passaggio se la configurazione non viene visualizzata.

    Cosa succede a questo passaggio?

    • Il client si connette all'agente di raccolta eventi e invia il certificato specificato
    • L'agente di raccolta eventi cerca l'autorità di certificazione e verifica se è un mapping dei certificati corrispondente
    • Agente di raccolta eventi convalida lo stato della catena di certificati client e delle revoche
    • Se i passaggi precedenti hanno esito positivo, l'autenticazione viene completata.

Nota

È possibile che venga visualizzato un errore di accesso negato lamentando il metodo di autenticazione, che potrebbe essere fuorviante. Per risolvere i problemi, controllare il log CAPI nell'agente di raccolta eventi.

  1. Elencare le voci dicertmapping configurate con il comando: winrm enumerazione winrm/config/service/certmapping configurato

Configurazione computer di origine eventi

  1. Accedere con un account amministratore e aprire l'editor di Criteri di gruppo locale (gpedit.msc)

  2. Passare a Criteri computer locali\Configurazione computer\Modelli amministrativi\Componenti di Windows\Inoltro eventi.

  3. Aprire "Configurare l'indirizzo del server, l'intervallo di aggiornamento e l'autorità di certificazione dell'autorità di certificazione di un gestore sottoscrizioni di destinazione".

  4. Abilitare i criteri e fare clic su SubscriptionManagers "Show..." Pulsante.

  5. Nella finestra SubscriptionManagers immettere la stringa seguente:

    Server=HTTPS://<FQDN del server> dell'agente di raccolta eventi :5986/wsman/SubscriptionManager/WEC,Refresh=<Intervallo di aggiornamento in secondi>,IssuerCA=<Identificazione personale del certificato CA emittente>

  6. Eseguire la riga di comando seguente per aggiornare le impostazioni del Criteri di gruppo locale:Gpupdate /force

  7. Questi passaggi devono produrre eventi 104 nel computer di origine Visualizzatore eventi Applicazioni e servizi Log\Microsoft\Windows\Eventlog-ForwardingPlugin\Operational log con il messaggio seguente:

    "Il server di inoltro è stato connesso correttamente al gestore sottoscrizioni all'indirizzo <FQDN>seguito dall'evento 100 con il messaggio: "La sottoscrizione <sub_name> viene creata correttamente".

  8. Nell'agente di raccolta eventi lo stato del runtime della sottoscrizione mostrerà ora 1 computer attivo.

  9. Aprire il log ForwardedEvents nell'agente di raccolta eventi e verificare se sono stati inoltrati gli eventi dai computer di origine.

Concedere l'autorizzazione per la chiave privata del certificato client nell'origine eventi

  1. Aprire la console di gestione certificati per il computer locale nel computer di origine eventi.
  2. Fare clic con il pulsante destro del mouse sul certificato client e quindi gestire le chiavi private.
  3. Concedere l'autorizzazione di lettura all'utente DEL SERVIZIO RETE.

Configurazione della sottoscrizione di eventi

  1. Aprire Visualizzatore eventi nell'agente di raccolta eventi e passare al nodo Sottoscrizioni.
  2. Fare clic con il pulsante destro del mouse su Sottoscrizioni e scegliere "Crea sottoscrizione..."
  3. Assegnare un nome e una descrizione facoltativa per la nuova sottoscrizione.
  4. Selezionare l'opzione "Computer di origine avviata" e fare clic su "Seleziona gruppi di computer...".
  5. Nei gruppi di computer fare clic su "Aggiungi computer non di dominio..." e digitare il nome host dell'origine evento.
  6. Fare clic su "Aggiungi certificati..." e aggiungere il certificato dell'autorità di certificazione che rilascia i certificati client. È possibile fare clic su Visualizza certificato per convalidare il certificato.
  7. In Autorità di certificazione fare clic su OK per aggiungere il certificato.
  8. Al termine dell'aggiunta di computer, fare clic su OK.
  9. Tornare alle proprietà della sottoscrizione, fare clic in Seleziona eventi...
  10. Configurare il filtro query eventi specificando i livelli di evento, i log eventi o le origini eventi, gli ID evento e qualsiasi altra opzione di filtro.
  11. Tornare alle proprietà della sottoscrizione, fare clic su Avanzate...
  12. Scegliere una delle opzioni di ottimizzazione per il recapito di eventi dall'evento di origine all'agente di raccolta eventi oppure lasciare normale predefinito:
    1. Ridurre al minimo la larghezza di banda: gli eventi verranno recapitati meno frequenza per risparmiare larghezza di banda.
    2. Ridurre al minimo la latenza: gli eventi verranno recapitati non appena si verificano per ridurre la latenza degli eventi.
  13. Modificare il protocollo in HTTPS e fare clic su OK.
  14. Fare clic su OK per creare la nuova sottoscrizione.
  15. Controllare lo stato di runtime della sottoscrizione facendo clic con il pulsante destro del mouse e scegliendo "Stato runtime"