Настройка передачи данных с сервера источника событий

Вы можете получать информацию о событиях на серверах и рабочих станциях, настроив передачу данных с удаленных устройств на сервер Windows Event Collector.

Предварительная подготовка

  1. Проверьте, что служба Windows Remote Management настроена на сервере источника событий, выполнив следующую команду в консоли PowerShell:

    winrm get winrm/config

    Если служба Windows Remote Management не настроена, инициализируйте ее, выполнив следующую команду:

    winrm quickconfig

  2. Если сервер источника событий является контроллером домена, откройте доступ по сети к журналам Windows, выполнив следующую команду в консоли PowerShel, запущенной от имени администратора:

    wevtutil set-log security /ca:’O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)

    Проверьте наличие доступа, выполнив следующую команду:

    wevtutil get-log security

Настройка брандмауэра сервера источника событий

Для того чтобы сервер Windows Event Collector мог получать записи журналов Windows, требуется открыть порты для входящих соединений на сервере источника событий.

Чтобы открыть порты для входящих соединений:

  1. На сервере источника событий откройте окно Выполнить, нажав комбинацию клавиш Win+R.
  2. В открывшемся окне введите запрос wf.msc и нажмите OK.

    Откроется окно Монитор брандмауэра Защитника Windows в режиме повышенной безопасности.

  3. Перейдите в раздел Правила для входящих подключений и в панели Действия нажмите Создать правило.

    Откроется Мастер создания правила для нового входящего пользователя.

  4. На шаге Тип правила выберите Для порта.
  5. На шаге Протоколы и порты в качестве протокола выберите Протокол TCP. В поле Определенные локальные порты укажите номера портов:
    • 5985 (для доступа по HTTP)
    • 5986 (для доступа по HTTPS)

    Вы можете указать один из портов или оба.

  6. На шаге Действие выберите Разрешить подключение (выбрано по умолчанию).
  7. На шаге Профиль снимите флажки Частный и Публичный.
  8. На шаге Имя укажите имя правила для нового входящего подключения и нажмите Готово.

Настройка передачи данных с сервера источника событий завершена.

Сервер Windows Event Collector должен обладать правами для чтения журналов Windows на сервере источника событий. Права могут быть предоставлены как учетной записи сервера Windows Event Collector, так и специальной пользовательской учетной записи. Подробнее о предоставлении прав см. в разделе Предоставление прав пользователю для просмотра журнала событий Windows.

В начало