Splunk _通过WMI远程收集Windows主机日志

Splunk通过WMI收集Windows日志方法（非AD环境主机）

1.在Windows主机上创建用户，并把此用户加入本地管理员组中，例如：用户splunkag并且确保所有主机splunkag用户的密码相同。

2．更改splunkag用户的Dcom权限

1）运行dcomcnfg.exe命令

2）更改splunkag用户COM安全权限，点击“组件服务”->“计算机”->“我的电脑”->“右键属性”

3）更改用户splunkag访问权限，COM安全->访问权限->编辑限制。

4）在安全限制列表中，添加splunkag用户，并且保证splunkag用户有本地访问和远程访问权限。

5）更改splunkag用户COM安全的启动和激活权限

6）在“启动和激活权限”列表中添加splunkag用户，确保此用户有本地启动，远程启动和远程激活权限。

3．Splunkag用户，WMI权限配置。

1）更改用户splunkag的WMI控件权限。“右键WMI控件”->“安全”->“root”->“安全设置”

2）在安全设置root列表中，添加splunkag用户，确保此用户具有权限：

执行方法、启用账号、远程启用、读取。

3）在安全设置root列表中，选择splunkag用户，点击“高级”->“splunkag”->“编辑”->“应用于”选择“这个命名空间和子命名空间”

注：若是Windows 7/2008系统，需要将“用户访问控制”的级别调整到最低。

转载于:https://blog.51cto.com/wudu0517/1259802