Como configurar o Windows 11 para enviar logs para um servidor Syslog ou SIEM

Centralizar logs de eventos do Windows 11 em uma solução SIEM ou um servidor Syslog é uma estratégia fundamental para melhorar a segurança e gerenciamento de infraestrutura de TI. Integrar estes toras facilita análises de incidentes, auditorias e diagnósticos mais rápidos e eficientes.

Hoje, existem diferentes métodos e ferramentas para realizar essa configuração: desde soluções nativas do Windows até agentes externos e plataformas de gerenciamento como Pandora FMS ou ManageEngine. Neste artigo, exploraremos todas as possibilidades. das configurações mais básicas às mais avançadas, incluindo opções com e sem criptografia, agentes livres e possibilidades de integração com sistemas como o Azure Local.

Artigo relacionado:

Como você pode abrir dados de log HEIC no Windows Home 10?

Opções básicas para enviar logs do Windows para um servidor Syslog

Antes de entrar em configurações mais especializadas, é útil conhecer o alternativas simples e gratuitas para encaminhar logs do Windows para um destino remoto.

Agentes livres disponíveis

• Epílogo de Snare: Versão gratuita limitada do produto InterSect Alliance. Requer configuração via interface web e não oferece muita flexibilidade.
• Agente CorreLog para Windows: Poderoso e gratuito por meio de registro. É configurado por meio de arquivo de texto, instalado como serviço e ainda permite registrar a abertura de aplicativos no sistema.
• Agente Syslog de Datagrama: Um dos mais simples e robustos. Baseado no NTSyslog, é configurado através do registro do Windows e fornece cache quando o servidor remoto não está disponível.

Estas soluções são ideal para ambientes domésticos ou pequenas infraestruturas onde o controle centralizado e a criptografia de mensagens não são necessários.

Encaminhamento de log no Azure Local com PowerShell

Em ambientes mais controlados, como Azure Stack HCI ou Azure Local, a Microsoft fornece cmdlets específicos para configurar e gerenciar o encaminhamento de log usando o protocolo Syslog.

Cmdlets em destaque

O comando é usado Set-AzSSyslogForwarder para configurar as definições de encaminhamento. Seus parâmetros incluem:

• -NomeDoServidor: Endereço IP ou FQDN do servidor Syslog.
• -Porta do Servidor: porta de escuta do servidor remoto.
• -Usar UDP: usa UDP como protocolo de transporte.
• -Sem Criptografia: permite o envio de eventos em texto simples.
• -Impressão digital do certificado do cliente: estabelecer autenticação mútua usando certificados.

Uma vez configurado, o encaminhamento é ativado com Enable-AzSSyslogForwarder e pode ser desabilitado usando Disable-AzSSyslogForwarder .

Modos de operação

Dependendo do nível de segurança exigido, diferentes variantes podem ser aplicadas:

• UDP sem criptografia:Muito fácil de configurar, mas sem proteção contra espionagem.
• TCP sem criptografia: melhora a entrega de mensagens, mas ainda não é seguro.
• TCP com TLS e autenticação de servidor: O cliente valida o certificado do servidor antes de enviar os logs.
• TCP com TLS e autenticação mútua:Tanto o cliente quanto o servidor validam suas identidades usando certificados, oferecendo o mais alto nível de segurança.

Verificando e excluindo configurações

Para verificar o status atual do encaminhamento de log, use Get-AzSSyslogForwarder com os seguintes parâmetros opcionais:

• -Local: Exibe a configuração atual do host.
• -Por Nó: detalhe para cada nó.
• -Conjunto: Exibe as configurações globais do Azure Local.

Se você quiser excluir completamente ou redefinir a configuração, use Set-AzSSyslogForwarder -Remove.

Coleta remota de logs em ambientes Windows

Para cenários mais complexos ou empresariais, a coleta remota pode ser usada via WMI, sessões remotas ou conectividade nativa com visualizadores de eventos em domínios do Active Directory. ManageEngine documenta uma maneira avançada de fazer isso, que inclui etapas abrangentes:

Permissões necessárias

• Crie uma conta de serviço no domínio com permissões para acessar os logs.
• Adicione essa conta a grupos como “Leitores de log de eventos” e “Usuários COM distribuídos”.
• Conceda privilégios para gerenciar logs de auditoria usando políticas locais ou GPOs.
• Configure o acesso WMI e as permissões DCOM, se necessário.

Etapas técnicas

Uma vez concedidas as autorizações:

1. Habilite a conectividade através do firewall.
2. Habilite o serviço Coletor de Eventos no servidor de destino.
3. Configure o protocolo WRM nas máquinas de origem.
4. Crie uma assinatura no visualizador de eventos indicando os dispositivos de origem, os tipos de log e os filtros desejados.

Monitoramento com Pandora FMS

O Pandora FMS também oferece uma maneira muito completa de coletar logs tanto no Windows quanto no Linux, integrando seus dados ao OpenSearch e permitindo a correlação SIEM.

Coleção do Windows

• Em formato de texto: para arquivos como logs do Apache ou serviços personalizados.
• De eventos do sistema: definir filtros usando module_source (Sistema, Aplicação, Segurança) e parâmetros como module_eventtype, module_eventcode, module_application.

Colheita do Linux

São utilizados módulos que analisam rotas como /var/log/messages o /var/log/secure Procurando padrões. Você pode excluir códigos de status HTTP bem-sucedidos ou pesquisar usando expressões regulares.

Servidor Syslog Integrado

Ativando uma opção em pandora_server.confO Pandora pode receber logs via Syslog diretamente usando vários threads de processamento e uma fila configurável.

Isaac

Escritor apaixonado pelo mundo dos bytes e da tecnologia em geral. Adoro compartilhar meu conhecimento por meio da escrita, e é isso que farei neste blog, mostrar a vocês tudo o que há de mais interessante sobre gadgets, software, hardware, tendências tecnológicas e muito mais. Meu objetivo é ajudá-lo a navegar no mundo digital de uma forma simples e divertida.