Loading...
Comment utiliser Windows Event Forwarding (WEF) avec l'agent Windows
Articles techniques ID:   KB77092
Date de la dernière modification :  16/11/2018
Noté :

Environnement

McAfee Database Event Monitor for SIEM (NitroView DBM) 9.x
McAfee Enterprise Log Manager (NitroView ELM) 9.x
McAfee Enterprise Security Manager (NitroView ESM) 9.x
McAfee Event Receiver (NitroView Receiver) 9.x

 

Synthèse

Cet article décrit comment configurer Windows Event Forwarding avec SIEM avec l'agent Windows.

Solution

Windows Event Forwarding (WEF) est une fonction des systèmes d'exploitation Microsoft (introduite avec Microsoft Vista) que vous pouvez configurer pour transférer les journaux d'un ou plusieurs ordinateurs Sources d'événements vers un système Windows centralisé (que l'on nomme généralement un Event Collector). Le McAfee Event Collector a été conçu pour lire ces journaux assemblés et les envoyer à un récepteur.

REMARQUE : Vista est le système d'exploitation minimum requis sur Event Collector ou sur les Sources d'événements.

Pour configurer votre environnement :

  1. Configurez les systèmes Sources d'événements pour transférer des événements à WEF Event Collector.
  2. Installez l'agent sur le WEF Event Collector.
  3. Ajoutez un hôte unique et, pour Nom d'hôte/IP, ajoutez l'adresse IP du Event Collector.
  4. Créez une Configuration. Sélectionnez Journal des événements Windows et nommez la configuration.
  5. Sélectionnez Transférer l'événement dans la zone Evénement Windows.
     
    REMARQUE : WEF peut effectuer le transfert vers d'autres journaux que Evénements transférés. Evénements transférés est le paramètre par défaut.
     
  6. A cette étape, vous avez deux choix :

    1. Sélectionner WEF - si vous avez besoin de la granularité d'une source de données par source d'événement, cochez la zone WEF.
    2. Ne pas sélectionner WEF - si vous avez de nombreuses sources d'événements (par exemple, Event Forwarding peut être configuré dans le cadre d'une stratégie de groupe de domaines, ce qui peut rendre moins évident le nombre de sources d'événements qui transfèrent véritablement des événements), le fait d'avoir une source de données pour chaque Source d'événement peut se révéler difficile. Dans ce cas, laissez la case WEF non sélectionnée. De cette manière, tous les événements sont assemblés sous la source de données de l'agent.
       
  7. Sur le récepteur, créez une source de données pour Event Collector. Cette étape est nécessaire pour ouvrir le pare-feu sur le récepteur afin de permettre la communication entre l'agent et le récepteur. Les paramètres sont les suivants :

    1. Fournisseur : Microsoft
    2. Modèle : journal des événements WMI
    3. Récupération de données : MEF
    4. Nom : nom DS
    5. Adresse IP : IP du système sur lequel l'agent est installé
    6. Utiliser le chiffrement : correspondance avec ce que l'agent a marqué
REMARQUE : si vous n'avez pas sélectionné l'option WEF ci-dessus, l'étape suivante n'est pas nécessaire.

Si vous avez besoin d'une source de données par Source d'événement, créez des sources de données pour chacun des systèmes Windows que lesquels l'agent est installé et qui transfèrent des événements à ce serveur :
  1. Fournisseur : Microsoft
  2. Modèle : journal des événements WMI
  3. Récupération de données : MEF
  4. Nom : nom DS
  5. Adresse IP : ne pas utiliser l'IP
  6. ID hôte : utiliser le nom d'hôte du système d'exploitation Windows qui transfère les journaux. Cela vient de ce que les adresses IP des systèmes Sources d'événements ne se trouvent pas dans les événements transférés. Les événements ne contiennent que les noms d'hôte.
  7. Utiliser le chiffrement : correspondance avec ce que l'agent a marqué

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Noter ce document