Windows Event Forwarding (WEF) Server Kurulumu – Windows Event Collector WEC

Merhaba, bu yazımızda sizlere Windows Event Forwarding (WEF) yapılandırmasında bahsedeceğim. Windows Event Forwarding (WEF), windows tabanlı sistemlerde event log’ları merkezi olarak toplamanızı sağlar. WEF’in büyük avatanjı, büyük yapılarda sistemler üzerindeki logları yönetmek zor olabilir WEF bu gibi durumlarda büyük kolaylık sağlar. Bir diğeri, logları merkezi olarak toplayıp SIEM gibi güvenlik ürünlerine gönderebilirsiniz. Bu özellikle onlarca log kaynağına sahip yapılar için çok önemlidir çünkü farklı sistemler üzerinde farklı log kaynakları vardır bunları öncesinde WEF üzerinde filitreleyerek sonra SIEM gibi sistemlere göndermek hem performans hemde storage kaynağı olarak büyük avantaj sağlar.

Biraz daha teknik ayrıntalara girersek WEF için iki çalışma modu vardır;

Pull mod – Bu modda WEF sunucu gider ve logları kendi toplar, bu sunucu üzerinde yük getireceğiden çok fazla tercih edilen bir yöntem değil.

Push mod – Bu modda istemciler WinRM servisi aracılığı ile http TCP 5985  ve https 5986 portları üzerinde logları WEF sunucuya gönderir. Clientlar kerberos authentication ile WEF Server a register olurlar. Bu modun en büyük avantajı WEF sunucu üzerinde yük oluşturmadığı için performans sorunlarınında önüne geçmektedir.

Aşağıdaki görselde görüldüğü gibi birden fazla ve farklı rollerdeki sunucuları WEF sunucumuza yönlendirebilir isterseniz burada logları merkezi olarak analiz edebilir veya buradan SIEM gibi güvenlik ürünlerine gönderebilirsiniz.

Yapımız ise aşağıdaki gibidir

1 adet WEF Server – S001-065

1 adet Domain Controller – S001-060

Not: Firewall üzerinden TCP 5985  ve https 5986 portlarını açmanız gerekiyor.

Yapmak istediğimiz DC üzerindeki logları WEF sunucumuz üzerine göndererek depolamak.

S001-065 olan sunucumu AD üzerinde bir OU altına aldım. İlk yapmam gerekne şey WEF sunucumuzu log almak için hazırlamak. Bunun için WEF sunucu üzerinde powershell’i açıyoruz ve aşağıdaki iki komutu sırayla çalıştırıyoruz. Bu komutlardan sonra WEF sunucumuz hazır hale geliyor.

winrm qc
wecutil qc

Sonrasında DC tarafında bazı ayarları yapmamız gerekiyor. DC’leri WEF sunucuya log gönderecek şekilde ayarlamak için bir adet GPO oluşturuyorum ve Domain Controller OU’suna linkliyorum.

Oluşturduğum GPO üzerinde aşağıdaki ayarları yapıyorum.

“Computer Configuration > Administrative Templates > Windows Components > Event Forwarding” altında “SubscriptionManager” Enable hale getirip değer olarak aşağıdaki değeri giriyorum. Sunucu fqdn değerini siz kendi sunucunuz olarak değiştirin.

Server=http://s001-065.meram.local:5985/wsman/SubscriptionManager/WEC,Refresh=60

Bu işlemlerden sonra WEF sunucu üzerinde Event Viewer’ı açıyoruz. ve Subscriptions sağ tıklıyor ve Create Subscription’a tıklıyor.

Bir isim veriyor ve Select Computer Grous’a tıklıyorum.

Gelen ekranda sunucularımı ekliyorum.

Sonrasında Select Events’e tıklayarak almak istediğim logları seçiyorum.

Bu işlemlerin sonunda loglarım Forwarded Events’te görmeye başlıyoruz.

Olası sorunlar ve çözümler (Troubleshooting)

Bazı durumlarda loglar gelmeyebilir böyle bir durumda WEF üzerinde aşağıdaki komutları girebilirsiniz.

netsh http delete urlacl url=http://+:5985/wsman/

netsh http add urlacl url=http://+:5985/wsman/ sddl=D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)

netsh http delete urlacl url=https://+:5986/wsman/

netsh http add urlacl url=https://+:5986/wsman/ sddl=D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)

Diğer bir sorun, bir hesabın olay günlüklerine erişimi olması gerekli (bizim durumumuzda Network Services hesabı), söz konusu kanala erişmek için Olay Günlüğü okuyucuları grubuna özel izinler vermemiz gerekebilir. Ancak ilk olarak Olay Günlüğü okuyucuları grubuna “Network Services” ilkesini eklediğimizi unutmayın.

O:BAG:SYD:(A;;CCLCSDRCWDWO;;;SY)(A;;CCLC;;;BA)(A;;CC;;;ER)(A;;CC;;;NS)(A;;0x1;;;NS)

Log alma sorunlarını yukarıdaki yöntemleri kullanarak çözebilirsiniz. Bu makaleyi burada bitirirken faydalı olmasını dilerim. Keyifli okumalar.

Exit mobile version