Loading...

Knowledge Center


如何搭配 Windows Agent 使用 Windows 事件轉送 (WEF)
技術文章 ID:   KB77092
上次修改:  2018/11/16
已評分:


環境

McAfee Database Event Monitor for SIEM (NitroView DBM) 9.x
McAfee Enterprise Log Manager (NitroView ELM) 9.x
McAfee Enterprise Security Manager (NitroView ESM) 9.x
McAfee Event Receiver (NitroView Receiver) 9.x

 

摘要

本文章說明如何搭配 Windows Agent 使用 SIEM 設定 Windows 事件轉送。

解決方案

Windows 事件轉送 (WEF) 是 Microsoft 作業系統中的功能 (隨 Microsoft Vista 引進),可讓您設定將一或多個事件來源電腦的記錄轉送到集中的 Windows 系統 (通常稱做事件收集器)。McAfee Event Collector 的設計可讀取已整理的記錄,並將記錄傳送到接收器。

注意:事件收集器或事件來源的最低作業系統需求為 Vista。

若要設定您的環境:

  1. 事件來源系統設定為將事件轉送至 WEF 事件收集器
  2. Agent 安裝在 WEF 事件收集器上。
  3. 新增單一主機,並為主機名稱/IP 新增事件收集器 IP 位址。
  4. 建立組態。選擇 Windows 事件記錄,並為組態命名。
  5. Windows 事件區域中選取轉送事件
     
    注意:WEF 可轉送非已轉送事件的記錄。已轉送事件為預設值。
     
  6. 目前您有兩個選擇:

    1. 選取 WEF - 如果您需要的精細度為每個事件來源的資料來源,請勾選 WEF 方塊。
    2. 不選取 WEF - 如果您有多個事件來源 (例如,事件轉送可設定為網域群組原則的一部分,這麼做可讓實際上資料來源正在轉送的事件數量變得不明顯),則可證明要讓每個事件來源都有資料來源並不容易。 在此狀況下,將 WEF 保持為未選取。如此一來,所有的事件皆在 Agent 資料來源下整理。
       
  7. 在接收器上,為事件收集器建立資料來源。 這是在接收器上開啟防火牆的必要步驟,能讓 Agent 與接收器進行通訊。設定如下:

    1. 廠商:Microsoft
    2. 模型:WMI 事件記錄
    3. 資料擷取:MEF
    4. 名稱:DS 名稱
    5. IP 位址:已安裝代理程式的系統 IP
    6. 使用加密:符合代理程式已標記的項目
注意:如果您先前未選取 WEF 選項,則不必執行下一個步驟。

如果您需要各事件來源都有資料來源,請為每個已安裝 Agent 且將事件轉送至該伺服器的 Windows 系統建立資料來源:
  1. 廠商:Microsoft
  2. 模型:WMI 事件記錄
  3. 資料擷取:MEF
  4. 名稱:DS 名稱
  5. IP 位址:不使用 IP
  6. 主機 ID:使用轉送記錄的 Windows 系統主機名稱。 這是因為事件來源系統的 IP 位址不在已轉送事件中。這些事件只包含主機名稱。
  7. 使用加密:符合代理程式已標記的項目

免責聲明

本文內容源於英文。如果英文內容和翻譯有差異,請一律以英文內容為準。其中部分內容是使用 Microsoft 機器翻譯技術翻譯的。

為本文件評分