本次升級並沒有增加新的告警,而是增加了window的日誌分析,主要分析了windows的登錄日誌和操作日誌,這兩個比較重要的日誌類型,其他日誌類型可以作爲通用的日誌收集功能進行存儲查詢。
Windows系統沒有自帶的功能支持系統日誌進行syslog發送,因此需要依賴第三方工具,這裏我們推薦一款非常好用的輕量級日誌採集模塊:Nxlog,在Windows下部署和配置均十分便捷。
注:本人測試過2008 ,2003 server,理論上2012也是可以的,其他環境沒有測試,如果有問題歡迎到羣裏諮詢。
1、安裝Nxlog
從Sourceforge下載最新的 Nxlog,並安裝。
2、建立配置文件
修改配置文件,默認配置文件位置:
C:\Program Files\nxlog\conf\nxlog修改爲以下內容,注意要修改實際路徑和爭取的發送目的的地址。
如果想收集全部日誌去掉query行。
im_msvistalog針對Windows 2008系列,im_mseventlog針對Windows 2003系列。注意和實際環境一致。
3、重啓Nxlog服務
4、查看日誌
如果配置正常,可以在後檯安全健康--安全事件中看到如下日誌:
2015-05-30T23:01:39.971740+08:00 WIN-TI494OC1RZO.secisland.com Microsoft-Windows-Security-Auditing 600 - [secisland windows eventlog Keywords="-9214364837600034816" EventType="AUDIT_SUCCESS" EventID="4624" ProviderGuid="{54849625-5478-4994-A5BA-3E3B0328C30D}" Version="0" Task="12544" OpcodeValue="0" RecordNumber="71402" ThreadID="2092" Channel="Security" Category="登錄" Opcode="信息" SubjectUserSid="S-1-0-0" SubjectUserName="-" SubjectDomainName="-" SubjectLogonId="0x0" TargetUserSid="S-1-5-18" Ta
5、相關告警
密碼猜測,非上班時間登錄,非上班地點登錄,密碼猜測成功,賬號猜測告警和這些內容相關。