Loading...

WEF (Windows Event Forwarding) gebruiken met de Windows-agent
Technische artikelen ID:   KB77092
Laatst gewijzigd:  16-11-2018
Beoordeeld:


Omgeving

McAfee Database Event Monitor for SIEM (NitroView DBM) 9.x
McAfee Enterprise Log Manager (NitroView ELM) 9.x
McAfee Enterprise Security Manager (NitroView ESM) 9.x
McAfee Event Receiver (NitroView Receiver) 9.x

 

Samenvatting

In dit artikel wordt beschreven hoe u Windows Event Forwarding met SIEM met de Windows-agent configureert.

Oplossing

WEF (Windows Event Forwarding) is een functie van Microsoft-besturingssystemen (geïntroduceerd in Microsoft Vista) die u zo kunt configureren dat logboeken van een of meer gebeurtenisbroncomputers naar een centraal Windows-systeem (meestal een Event Collector genoemd) worden doorgestuurd. De McAfee Event Collector is ontworpen om deze verzamelde logboeken te lezen en naar een ontvanger te sturen.

OPMERKING: voor zowel de Event Collector als de gebeurtenisbronnen is Vista het minimaal vereiste besturingssysteem.

De omgeving configureren:

  1. Configureer de systemen voor gebeurtenisbronnen, zodat gebeurtenissen naar de WEF Event Collector worden doorgestuurd.
  2. Installeer de agent in de WEF Event Collector.
  3. Voeg een enkele host toe en voeg voor Hostnaam/IP het IP-adres van de Event Collector toe.
  4. Maak een configuratie. Selecteer Windows-gebeurtenislogboek en geef de configuratie een naam.
  5. Selecteer Forward Event (Gebeurtenis doorsturen) in het gebied Windows-gebeurtenis.
     
    OPMERKING: WEF kan behalve Forwarded Events (Doorgestuurde gebeurtenissen) nog twee andere logboeken doorsturen. Forwarded Events (Doorgestuurde gebeurtenissen) is de standaard. 
     
  6. Op dit moment hebt u twee opties:

    1. WEF selecteren: schakel het vakje WEF in als u gegevensbronnen gedetailleerd per gebeurtenisbron wilt weergeven.
    2. WEF niet selecteren: als er veel gebeurtenisbronnen zijn (Event Forwarding (Gebeurtenissen doorsturen) kan bijvoorbeeld worden geconfigureerd als onderdeel van een domeingroepsbeleid, waardoor minder duidelijk is hoeveel gebeurtenisbronnen werkelijk doorgestuurde gebeurtenissen zijn), kan het lastig zijn om voor elke gebeurtenisbron een gegevensbron te hebben. Laat WEF in dat geval uitgeschakeld. Op die manier worden alle gebeurtenissen in de gegevensbron van de agent verzameld. 
       
  7. Maak in de ontvanger een gegevensbron voor de Event Collector. Deze stap is noodzakelijk om de firewall van de ontvanger te openen en communicatie tussen de agent en de ontvanger toe te staan. De instellingen zijn als volgt:

    1. Leverancier: Microsoft
    2. Model: WMI-gebeurtenislogboek
    3. Ophalen van gegevens: MEF
    4. Naam: DS-naam
    5. IP-adres: IP van het systeem waarop de agent is geïnstalleerd
    6. Versleuteling gebruiken: hetzelfde als wat de agent heeft gemarkeerd
OPMERKING: als u bovenstaande WEF-optie niet hebt geselecteerd, hoeft u de volgende stap niet uit te voeren. 

Maak als u voor elke gebeurtenisbron een gegevensbron wilt, gegevensbronnen voor alle Windows-systemen waarop de agent is geïnstalleerd en die doorgestuurde gebeurtenissen voor die server zijn:
  1. Leverancier: Microsoft
  2. Model: WMI-gebeurtenislogboek
  3. Ophalen van gegevens: MEF
  4. Naam: DS-naam
  5. IPadres: gebruik geen IP
  6. Host-id: gebruik de hostnaam van het Windows-systeem dat de logboeken doorstuurt. Dat heeft te maken met het feit dat de IP-adressen van de gebeurtenisbronsystemen niet in de doorgestuurde gebeurtenissen staan. De gebeurtenissen bevatten alleen de hostnamen.
  7. Versleuteling gebruiken: hetzelfde als wat de agent heeft gemarkeerd

ontkenning

De inhoud van dit artikel is oorspronkelijk in het Engels uitgebracht. Als er verschillen zijn tussen de Engelse inhoud en de vertaling, is de Engelse inhoud altijd het meest accuraat. Een deel van deze inhoud is het resultaat van het gebruik van de machinevertaling van Microsoft.

Dit document beoordelen

Beta Translate with

Select a desired language below to translate this page.