Nach dem letzten Beitrag zur zentralen Syslog Analyse durch Splunk, möchte ich nun eine weitere Möglichkeit zur zentralen Loganalyse aufzeigen. Diesmal steht eine Windows Server Umgebungen mit ihren EventLogs im Fokus. Splunk hat auch speziell für solche Umgebungen passende Schnittstellen parat. Hier will ich die Funktion zur Remote Ereignisprotokolle aufzeigen.

Systemvorraussetzung auf dem Splunk Server

Voraussetzung für die Auswertung von Windows Eventlogs ist in diesem Fall ein auf einem Windows Server installierte Splunk Instanz notwendig. Die von Splunk zur Verfügung gestellter Data Input Schnittstelle „Remote event log collections“ sind nur in der Windows Version vorhanden. Ist auch verständlich, da Splunk für den Remote Zugriff den auf dem gehosteten Windows Server vorhanden WMI (Windows Management Instrumentation) verwendet. Konkreter verwendet der unter Splunk laufende Systemuser diese WMI Schnittstelle. Daher muss Splunk auf jeden Fall mit einem Domain User laufen, welcher die benötigten Credentials (Berechtigungen) auf dem entfernten Windows Servern hat.

Schematischer Aufbau SPLUNK per WMI an EventLogs

Systemvorraussetzungen auf dem Windows Server

Die schnellste Methode zum Erfassen der Eventlogs ist die Mitgliedschaft des Domain Users „splunkuser“ in die lokale Admingruppe des Zielrechners. Für erste Tests zur Erfassung der Eventlogs von einem Server kann man dies durchführen.
Aus Sicherheitstechnischen Gründen ist aber nicht Ratsam, mit einem einzelnen User Account auf vielen Zielrechnern mit lokalen Adminrechten zu agieren. Daher müssen drei Komponenten auf dem Zielserver angepasst werden:

Anpassung der lokalen Sicherheitsrichtlinien auf dem Zielserver

Als ersten Schritt muss der Domain User die Berechtigung für das Auslesen von Event Logs bekommen. In der Regel haben Mitglieder der lokalen Admingruppe Zugriffsrechte. Hier wird aber der Splunk Domain User eingetragen.

Server Manager -> Tools -> Local Security Policy -> Local Policies -> User Right Management -> Manage auditing and security log Properties

Screenshot Windows 2012 R2 lokale Sicherheitseinstellungen

Anpassung der RPC Schnittstelle

Damit der User Remote auch eine entsprechende RPC (Remote Procedure Call) Kommunikationen initiieren kann, muss die Einstellung zu Launch and Activation Permission vom DCOM (Distributed Component Object Model) für den Splunk Domain User angepasst werden.

Server Manager -> Tools ->Component Services -> COM Security -> Launch and Activation Permissions -> Edit Limits

Screenshot Windows 2012 R2 Computer Komponenten Einstellungen

Anpassung der WMI Sicherhetisrichtlinien

Als letztes muss unter den WMI Parametern dem Splunk User eine entsprechende Berechtigungen für den Standard Namespace CIMV2 gewährt werden.

wmimgmt.msc -> WMI Control (local) -> Security -> CIMV2 -> Properties

Screenshot Windows 2012 R2 WMI Einstellungen

Anbinden von Remote Eventlogs unter Splunk

Unter der Windows Version von Splunk gibt bei der Auflistung Data Inputs den Punkt Remote-Ereignisprotokolle. Hierbei muss nur der entfernte Host angegen werden. Im Hintergrund wird dann per WMI unter dem aktuell laufenden Serviceuser eine entsprechende Abfrage gestellt. Bei der Auflistung kann man definieren, welche Logs für einen interessant zum sammeln sind.

 

Screenshot Splunk Remote Ereignisprotokolle

Merken

Merken