Loading...

Cómo utilizar Reenvío de eventos de Windows (WEF) con el agente de Windows
Artículos técnicos ID:   KB77092
Última modificación:  16/11/2018
Calificado:


Entorno

McAfee Database Event Monitor for SIEM (NitroView DBM) 9.x
McAfee Enterprise Log Manager (NitroView ELM) 9.x
McAfee Enterprise Security Manager (NitroView ESM) 9.x
McAfee Event Receiver (NitroView Receiver) 9.x

 

Resumen

Este artículo describe cómo configurar Reenvío de eventos de Windows con SIEM con el agente de Windows.

Solución

Reenvío de eventos de Windows (WEF) es una función de los sistemas operativos de Microsoft (que se introdujo en Microsoft Vista) que puede configurar para reenviar registros desde uno o varios equipos Origen del evento a un sistema centralizado de Windows (por lo general, denominado Recopilador de eventos). McAfee Event Collector se ha diseñado para leer los registros recopilados y enviarlos a un receptor.

NOTA: Vista es el sistema operativo mínimo necesario tanto en el Recopilador de eventos como en Orígenes de evento.

Para configurar el entorno, realice lo siguiente:

  1. Configure los sistemas Origen del evento para reenviar eventos al Recopilador de eventos de WEF.
  2. Instale el agente en el Recopilador de eventos de WEF.
  3. Añada un único host, y, para Nombre/IP de host, añada la dirección IP del Recopilador de eventos.
  4. Cree una configuración. Seleccione Registro de eventos de Windows y asigne un nombre a la configuración.
  5. Seleccione Reenviar evento en el área Evento de Windows.
     
    NOTA: WEF puede realizar reenvíos a registros que no sean Eventos reenviados. Eventos reenviados es la opción predeterminada.
     
  6. En este momento, dispone de dos opciones:

    1. Seleccionar WEF: Si necesita el nivel de detalle de un origen-por-origen-de-evento de datos, marque la casilla WEF.
    2. No seleccionar WEF: Si dispone de varios orígenes de eventos (por ejemplo, Reenvío de eventos se puede configurar como parte de una directiva de grupo de dominio. Al hacerlo, puede parecer menos obvio cuántos orígenes de eventos están reenviando eventos en realidad), disponer de un origen de datos para cada origen de eventos puede resultar difícil. En este caso, deje WEF desactivado. De este modo, todos los eventos se recopilan en el origen de datos de agente.
       
  7. En el receptor, cree un origen de datos para el Recopilador de eventos. Este es un paso necesario para abrir el firewall del receptor con el fin de permitir la comunicación entre el agente y el receptor. La configuración es la siguiente:

    1. Proveedor: Microsoft
    2. Modelo: Registro de eventos de WMI
    3. Recuperación de datos: MEF
    4. Nombre: Nombre de DS
    5. Dirección IP: Dirección IP del sistema que tiene el agente instalado
    6. Usar cifrado: Coincidencia con lo que el agente ha marcado
NOTA: Si no ha seleccionado la opción WEF anteriormente, no tiene que realizar el siguiente paso.

Si necesita un origen de datos por Origen del evento, cree orígenes de datos para cada uno de los sistemas Windows que tengan el agente instalado y estén reenviando eventos a dicho servidor:
  1. Proveedor: Microsoft
  2. Modelo: Registro de eventos de WMI
  3. Recuperación de datos: MEF
  4. Nombre: Nombre de DS
  5. Dirección IP: No utilizar dirección IP
  6. ID de host: Utilice el nombre de host del sistema de Windows que reenvía los registros. Esto se debe a que las direcciones IP de los sistemas Origen del evento no se encuentran en los eventos reenviados. Los eventos solo contienen los nombres de host.
  7. Usar cifrado: Coincidencia con lo que el agente ha marcado

Descargo de responsabilidad

El contenido de este artículo se creó en inglés. En caso de darse cualquier diferencia entre el contenido en inglés y su traducción, el primero siempre será el más preciso. La traducción de algunas partes de este contenido la ha proporcionado Microsoft mediante el uso de traducción automática.

Calificar este documento

Idiomas: