收集器已启动;
源计算机已启动。
笔者只测试过第二种方法:源计算机已启动,好处是只需要开启域控到收集端的访问,无需在域控中添加账户。一旦收集端出现安全风险,在防火墙配置正确的前提下,也不会影响任何域控。
配置方法
client 日志发送方
server 日志收集方
Client 端配置
1.Client 的 security log 权限查询和添加
管理员权限运行如下命令:
wevtutil gl security
该命令是用于检查security 日志读取权限是否允许network service 读取。
返回应该是如下内容则配置成功:
PS C:Windowssystem32> wevtutil gl security
...
channelAccess: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;NS)
如果缺少 (A;;0x1;;;NS) 表示network service 权限没有加到security 日志项中。需要单独添加,追加 network service权限。
Client 的 security 日志的 network 权限添加:
组策略(gpedit.msc) -> 计算机配置 -> 管理模板 -> windows 组件 -> 事件日志服务器 -> 安全-> 配置日志访问
然后双击后,选择已启用,将 wevtutil gl security 中的值和(A;;0x1;;;NS)加入到配置项中 ,如
O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;NS)
(也有人将组策略(gpedit.msc) -> 计算机配置 -> 管理模板 -> windows 组件 -> 事件日志服务器 -> 安全-> 配置日志访问(旧版)一并配置成上面的值,影响不大,可选)
2.Client 的发送目标配置
组策略-> 计算机配置 -> 管理模板 -> windows 组件 -> 事件转发 -> 配置目标订阅管理器(即就是我们的server端地址)
选择已启用,并输入:
Server=http://tony-PC.lmrsec.com:5985/wsman/SubscriptionManager/WEC
这里FQDN指server机器PC名。
Server 端配置
1.打开日志收集项
使用管理员权限打开powershell 或cmd ,运行winrm qcWinRM 服务,并激活日志收集项:
2.配置日志接收项和接收的计算机
打开事件查看器(eventvwr.msc),并选择左侧订阅:
点击创建订阅:
输入域内client机器的计算机名
添加要过滤的事件id:
等待一段时间,在 事件查看器-转发事件 查看,就有数据了。
reference
后记
1.配置完成后间隔多久会监控到转发过来的日志,这个时间不确定,如果 在“事件管理-转发事件”里,点击了 “清除日志”,则可能等待更长时间才出现日志。需要检查要转发日志的主机时间是否和当前时间一致。
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
1602
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
