Splunk通过WMI收集Windows日志方法(非AD环境主机)
1.在Windows主机上创建用户,并把此用户加入本地管理员组中,例如:用户splunkag并且确保所有主机splunkag用户的密码相同。
2.更改splunkag用户的Dcom权限
1)运行dcomcnfg.exe命令
2)更改splunkag用户COM安全权限,点击“组件服务”->“计算机”->“我的电脑”->“右键属性”
3)更改用户splunkag访问权限,COM安全->访问权限->编辑限制。
4)在安全限制列表中,添加splunkag用户,并且保证splunkag用户有本地访问和远程访问权限。
5)更改splunkag用户COM安全的启动和激活权限
6)在“启动和激活权限”列表中添加splunkag用户,确保此用户有本地启动,远程启动和远程激活权限。
3.Splunkag用户,WMI权限配置。
1)更改用户splunkag的WMI控件权限。“右键WMI控件”->“安全”->“root”->“安全设置”
2)在安全设置root列表中,添加splunkag用户,确保此用户具有权限:
执行方法、启用账号、远程启用、读取。
3)在安全设置root列表中,选择splunkag用户,点击“高级”->“splunkag”->“编辑”->“应用于”选择“这个命名空间和子命名空间”
注:若是Windows 7/2008系统,需要将“用户访问控制”的级别调整到最低。
转载于:https://blog.51cto.com/wudu0517/1259802