Windows-Ereignisweiterleitung (Windows Event Forwarding, WEF) ist eine Funktion der Microsoft-Betriebssysteme (eingeführt in Microsoft Vista), die Sie so konfigurieren können, dass die Protokolle von einem oder mehreren
Ereignisquell-Computern an ein zentrales Windows-System (üblicherweise als
Ereigniserfassung bezeichnet) weitergeleitet werden. McAfee Event Collector liest diese zusammengefassten Protokolle und sendet sie an einen Empfänger.
HINWEIS: Für die Ereigniserfassung oder die Ereignisquellen wird als Betriebssystem mindestens Windows Vista benötigt.
So konfigurieren Sie Ihre Umgebung:
- Konfigurieren Sie die Ereignisquellsysteme so, dass sie die Ereignisse an die WEF-Ereigniserfassung weiterleiten.
- Installieren Sie den Agenten auf dem WEF-Ereigniserfassungssystem.
- Fügen Sie einen einzelnen Host hinzu, und fügen Sie für Host-Name/IP die IP-Adresse des Ereigniserfassungssystems hinzu.
- Erstellen Sie eine Konfiguration. Wählen Sie Windows-Ereignisprotokoll aus, und benennen Sie die Konfiguration.
- Wählen Sie im Bereich Windows-Ereignisse die Option Weitergeleitete Ereignisse aus.
HINWEIS: Die Ereignisweiterleitung kann nicht nur an Weitergeleitete Ereignisse, sondern auch an andere Protokolle erfolgen. Weitergeleitete Ereignisse ist die Standardeinstellung.
- Hier haben Sie zwei Möglichkeiten:
- WEF auswählen: Wenn Sie die Abstufungen einer Datenquelle pro Ereignisquelle benötigen, aktivieren Sie das Kontrollkästchen WEF.
- WEF nicht auswählen: Wenn Sie über viele Ereignisquellen verfügen (beispielsweise kann die Ereignisweiterleitung als Teil einer Domänengruppenrichtlinie konfiguriert werden und dann ist es weniger offensichtlich, wie viele Ereignisquellen wirklich Ereignisse weiterleiten), dann ist es möglicherweise nicht so einfach, eine Datenquelle für jede Ereignisquelle zu haben. Wählen Sie in diesem Fall WEF nicht aus, dann werden alle Ereignisse unter der Agenten-Datenquelle zusammengefasst.
- Erstellen Sie auf dem Empfänger eine Datenquelle für die Ereigniserfassung. Dies ist erforderlich, um die Firewall auf dem Empfänger für die Kommunikation zwischen Agent und Empfänger zu öffnen. Die Einstellungen lauten wie folgt:
- Anbieter: Microsoft
- Modell: WMI-Ereignisprotokoll
- Datenabruf: MEF
- Name: DS-Name
- IP-Adresse: IP-Adresse des Systems, auf dem der Agent installiert ist
- Verschlüsselung verwenden: Wählen Sie die vom Agenten markierte Option aus
HINWEIS: Wenn Sie die WEF-Option weiter oben nicht ausgewählt haben, müssen Sie den nächsten Schritt nicht ausführen.
Wenn eine Datenquelle pro Ereignisquelle erforderlich ist, erstellen Sie eine Datenquelle für jedes Windows-System, auf dem der Agent installiert ist und das Ereignisse an diesen Server weiterleitet:
- Anbieter: Microsoft
- Modell: WMI-Ereignisprotokoll
- Datenabruf: MEF
- Name: DS-Name
- IP-Adresse: Keine IP-Adresse verwenden
- Host-ID: Verwenden Sie den Host-Namen des Windows-Systems, das die Protokolle weiterleitet, weil die weitergeleiteten Ereignisse nicht die IP-Adressen der Ereignisquellsysteme enthalten. Die Ereignisse enthalten nur die Host-Namen.
- Verschlüsselung verwenden: Wählen Sie die vom Agenten markierte Option aus
