Cara mengonfigurasi Windows 11 untuk mengirim log ke server Syslog atau SIEM

Sentralisasikan log peristiwa Windows 11 dalam solusi SIEM atau server Syslog adalah strategi utama untuk meningkatkan keamanan dan manajemen infrastruktur TI. Integrasikan ini log memfasilitasi analisis insiden, audit, dan diagnostik yang lebih cepat dan lebih efisien.

Saat ini, ada berbagai metode dan alat untuk mencapai konfigurasi ini: dari solusi Windows asli hingga agen eksternal dan platform manajemen seperti Pandora FMS atau ManageEngine. Dalam artikel ini, kita akan membahas semua kemungkinannya. dari konfigurasi paling dasar hingga lanjutan, termasuk opsi dengan dan tanpa enkripsi, agen gratis, dan kemungkinan integrasi dengan sistem seperti Azure Local.

Artikel terkait:

Bagaimana Anda bisa membuka data log HEIC di jendela Beranda 10?

Opsi dasar untuk mengirim log dari Windows ke server Syslog

Sebelum masuk ke konfigurasi yang lebih khusus, ada baiknya untuk mengetahui alternatif sederhana dan gratis untuk meneruskan log Windows ke tujuan jarak jauh.

Agen bebas tersedia

• Epilog Jerat: Versi gratis terbatas dari produk InterSect Alliance. Memerlukan konfigurasi melalui antarmuka web dan tidak menawarkan banyak fleksibilitas.
• Agen Windows CorreLog: Kuat dan gratis melalui registrasi. Dikonfigurasi melalui berkas teks, diinstal sebagai layanan, dan bahkan memungkinkan Anda untuk mencatat pembukaan aplikasi pada sistem.
• Agen Syslog Datagram: Salah satu yang paling sederhana dan paling tangguh. Berdasarkan NTSyslog, dikonfigurasi melalui registri Windows dan menyediakan penyimpanan sementara saat server jarak jauh tidak tersedia.

Solusi ini adalah ideal untuk lingkungan rumah tangga atau infrastruktur kecil di mana kontrol terpusat dan enkripsi pesan tidak diperlukan.

Penerusan Log di Azure Lokal dengan PowerShell

Di lingkungan yang lebih terkontrol seperti Azure Stack HCI atau Azure Local, Microsoft menyediakan cmdlet khusus untuk konfigurasikan dan kelola penerusan log menggunakan protokol Syslog.

Cmdlet unggulan

Perintah yang digunakan Set-AzSSyslogForwarder untuk mengonfigurasi pengaturan penerusan. Parameternya meliputi:

• -NamaServer: Alamat IP atau FQDN dari server Syslog.
• -Port Server: port mendengarkan server jarak jauh.
• -Gunakan UDP: menggunakan UDP sebagai protokol transport.
• -Tanpa Enkripsi: memungkinkan pengiriman peristiwa dalam teks biasa.
• -Sertifikat KlienSidik Jari: untuk membuat autentikasi bersama menggunakan sertifikat.

Setelah dikonfigurasi, penerusan diaktifkan dengan Enable-AzSSyslogForwarder dan dapat dinonaktifkan menggunakan Disable-AzSSyslogForwarder .

Mode operasi

Bergantung pada tingkat keamanan yang diperlukan, varian yang berbeda dapat diterapkan:

• UDP tanpa enkripsi: Sangat mudah dipasang, tetapi tidak ada perlindungan terhadap penyadapan.
• TCP tanpa enkripsi: meningkatkan pengiriman pesan tetapi masih belum aman.
• TCP dengan TLS dan otentikasi server: Klien memvalidasi sertifikat server sebelum mengirim log.
• TCP dengan TLS dan otentikasi bersama: Baik klien maupun server memvalidasi identitas mereka menggunakan sertifikat, menawarkan tingkat keamanan tertinggi.

Memeriksa dan Menghapus Pengaturan

Untuk memeriksa status penerusan log saat ini, gunakan Get-AzSSyslogForwarder dengan parameter opsional berikut:

• -Lokal: Menampilkan konfigurasi host saat ini.
• -PerNode: detail untuk setiap node.
• -Gugus: Menampilkan pengaturan global untuk Azure Local.

Jika Anda ingin menghapus atau mengatur ulang konfigurasi sepenuhnya, gunakan Set-AzSSyslogForwarder -Remove.

Pengumpulan log jarak jauh di lingkungan Windows

Untuk skenario yang lebih kompleks atau perusahaan, pengumpulan jarak jauh dapat digunakan melalui WMI, sesi jarak jauh, atau konektivitas asli dengan penampil peristiwa di domain Direktori Aktif. ManageEngine mendokumentasikan cara canggih untuk melakukan hal ini, yang mencakup langkah-langkah komprehensif:

Izin yang diperlukan

• Buat akun layanan di domain dengan izin untuk mengakses log.
• Tambahkan akun tersebut ke grup seperti “Pembaca Log Peristiwa” dan “Pengguna COM Terdistribusi”.
• Berikan hak istimewa untuk mengelola log audit menggunakan kebijakan lokal atau GPO.
• Konfigurasikan akses WMI dan izin DCOM jika perlu.

Langkah-langkah teknis

Setelah izin diberikan:

1. Aktifkan konektivitas melalui firewall.
2. Aktifkan layanan Pengumpul Peristiwa pada server target.
3. Konfigurasikan protokol WRM pada mesin sumber.
4. Buat langganan dari penampil peristiwa dengan menunjukkan perangkat sumber, jenis log, dan filter yang diinginkan.

Pemantauan dengan Pandora FMS

Pandora FMS juga menawarkan cara yang sangat lengkap untuk mengumpulkan log baik di Windows maupun di Linux, mengintegrasikan data Anda ke OpenSearch dan mengaktifkan korelasi SIEM.

Koleksi dari Windows

• Dalam format teks: untuk file seperti log Apache atau layanan kustom.
• Dari peristiwa sistem:mendefinisikan filter menggunakan module_source (Sistem, Aplikasi, Keamanan) dan parameter seperti module_eventtype, module_eventcode, module_application.

Memanen dari Linux

Modul digunakan untuk menganalisis rute seperti /var/log/messages o /var/log/secure mencari pola. Anda dapat mengecualikan kode status HTTP yang berhasil atau mencari menggunakan ekspresi reguler.

Server Syslog Terintegrasi

Mengaktifkan opsi di pandora_server.confPandora dapat menerima log melalui Syslog secara langsung menggunakan beberapa thread pemrosesan dan antrean yang dapat dikonfigurasi.

Isaac

Penulis yang bersemangat tentang dunia byte dan teknologi secara umum. Saya suka berbagi ilmu melalui tulisan, dan itulah yang akan saya lakukan di blog ini, menunjukkan kepada Anda semua hal paling menarik tentang gadget, perangkat lunak, perangkat keras, tren teknologi, dan banyak lagi. Tujuan saya adalah membantu Anda menavigasi dunia digital dengan cara yang sederhana dan menghibur.