Loading...

知识中心


如何将 Windows 事件转发 (WEF) 与 Windows 代理一起使用
技术文章 ID:   KB77092
上次修改时间:  2018/11/16
已评级:


环境

McAfee Database Event Monitor for SIEM (NitroView DBM) 9.x
McAfee Enterprise Log Manager (NitroView ELM) 9.x
McAfee Enterprise Security Manager (NitroView ESM) 9.x
McAfee Event Receiver (NitroView Receiver) 9.x

 

摘要

本文将介绍如何在安装有 Windows 代理且使用 SIEM 的系统上配置 Windows 事件转发功能。

解决方案

Windows 事件转发 (WEF) 是 Microsoft 操作系统的一项功能(在 Microsoft Vista 中引入),通过配置此功能,您可以将日志从一台或多台事件来源计算机转发到某个集中式 Windows 系统(通常称为事件收集器)。为了读取这些整理的日志并将其发送给接收器,专门设计了 McAfee Event Collector。

注意:无论是事件收集器还是事件来源,对操作系统的最低要求都是 Vista。

配置环境:

  1. 配置事件来源系统以将事件转发到 WEF 事件收集器
  2. WEF 事件收集器上安装代理
  3. 添加一个主机,然后添加事件收集器 IP 地址作为主机名/IP
  4. 创建一个配置。选择 WIndows 事件日志并命名该配置。
  5. Windows 事件区域中选择转发事件
     
    注意:WEF 可以转发除已转发事件之外的日志。已转发事件是默认选项。
     
  6. 此时,您有两种选择:

    1. 选择 WEF - 如果您对粒度的要求是每个事件来源一个数据来源,那么请选中 WEF 方框。
    2. 不选择 WEF - 如果您有许多事件来源(举例来说,可以将事件转发配置为域组策略的一部分,这么做可以让实际正在转发事件的事件来源的数量不那么明显),那么让每个事件来源对应一个数据来源可能会比较困难。 在这种情况下,请取消选中 WEF。这样,所有事件都会在“代理”数据来源下进行整理。
       
  7. 在接收器上,为事件收集器创建一个数据来源。 必须执行此步骤才能打开接收器上的防火墙,以允许代理与接收器之间进行通信。设置如下:

    1. 供应商:Microsoft
    2. 模式:WMI 事件日志
    3. 数据检索:MEF
    4. 名称:DS 名称
    5. IP 地址:已安装代理的系统 IP
    6. 使用加密:与代理标记的内容匹配
注意:如果您没有选择上述的 WEF 选项,则无需继续下一步。

如果您要求每个事件来源有一个数据来源,请为每个已安装代理且要将事件转发至服务器的 Windows 系统创建一个数据来源:
  1. 供应商:Microsoft
  2. 模式:WMI 事件日志
  3. 数据检索:MEF
  4. 名称:DS 名称
  5. IP 地址:不使用 IP
  6. 主机 ID:使用转发日志的 Windows 系统的主机名。 这是因为事件来源系统的 IP 地址不在转发的事件中。事件中仅包含主机名。
  7. 使用加密:与代理标记的内容匹配

免责声明

本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

对此文档进行评级