如何配置 Windows 11 以将日志发送到 Syslog 或 SIEM 服务器

最后更新: 30/06/2025
作者: 艾萨克
  • Windows 11 允许使用代理或本机功能将事件转发到 Syslog 服务器或 SIEM 平台。
  • 有多个具有不同安全级别的配置选项:从不加密的 UDP 到带有 TLS 和相互认证的 TCP。
  • Pandora FMS 或 ManageEngine 等工具提供了先进的远程收集方法,在企业环境中尤其有用。
  • 在设置收藏时 Windows,在传输记录时考虑权限、启用的服务和安全性非常重要。

暹

集中管理 Windows 11 事件日志 在 SIEM 解决方案或 Syslog 服务器中是提高 安全和IT基础设施管理. 整合这些 日志 促进更快、更有效的事件分析、审计和诊断。

如今,实现此配置的方法和工具多种多样:从原生 Windows 解决方案到外部代理以及 Pandora FMS 或 ManageEngine 等管理平台。本文将探讨所有可能性。 从最基本的到高级的配置,包括带加密和不带加密的选项、免费代理以及与 Azure Local 等系统的集成可能性。

打开文件
相关文章:
如何在 Home 10 Windows 中打开 HEIC 日志数据?

从 Windows 向 Syslog 服务器发送日志的基本选项

在进入更专业的配置之前,了解 简单且免费的替代方案 将 Windows 日志转发到远程目的地。

有自由球员可用

  • 圈套尾声:InterSect Alliance 产品的有限免费版本。它需要通过 Web 界面进行配置,灵活性不高。
  • CorreLog Windows 代理:功能强大,注册即可免费使用。它通过文本文件配置,以服务形式安装,甚至允许您记录系统上的应用程序打开情况。
  • 数据报系统日志代理:最简单、最强大的工具之一。它基于 NTSyslog,通过 Windows 注册表进行配置,并在远程服务器不可用时提供缓存。

这些解决方案是 非常适合家庭环境或小型基础设施 不需要集中控制和消息加密。

  如何在 OBS Studio 中安装插件并充分利用 Source Switcher

使用 PowerShell 在 Azure Local 中进行日志转发

在 Azure Stack HCI 或 Azure Local 等更受控制的环境中,Microsoft 提供了特定的 cmdlet 配置和管理日志转发 使用 Syslog 协议。

特色 cmdlet

该命令使用 Set-AzSSyslogForwarder 配置转发设置。其参数包括:

  • -服务器名称:Syslog 服务器的 IP 地址或 FQDN。
  • -服务器端口:远程服务器的监听端口。
  • -使用UDP:使用UDP作为传输协议。
  • -无加密:允许以纯文本形式发送事件。
  • -客户端证书指纹:使用证书建立相互认证。

配置完成后,转发将通过 Enable-AzSSyslogForwarder 可以使用 Disable-AzSSyslogForwarder .

有趣的方式

根据所需的安全级别,可以应用不同的变体:

  • 未加密的 UDP:设置起来非常容易,但没有防窃听保护措施。
  • 未加密的TCP:改善了消息传递,但仍然不安全。
  • 带有 TLS 和服务器身份验证的 TCP:客户端在发送日志之前验证服务器证书。
  • 带有 TLS 和相互身份验证的 TCP:客户端和服务器都使用证书验证其身份,提供最高级别的安全性。

检查和删除设置

要检查日志转发的当前状态,请使用 Get-AzSSyslogForwarder 具有以下可选参数:

  • -当地的:显示当前主机配置。
  • -每个节点:每个节点的详细信息。
  • -簇:显示 Azure Local 的全局设置。

如果要彻底删除或重置配置,请使用 Set-AzSSyslogForwarder -Remove.

Windows 环境中的远程日志收集

SIEM 日志

对于更复杂或企业场景,可以通过 WMI、远程会话或与 Active Directory 域中的事件查看器的本机连接来使用远程收集。 ManageEngine的 记录了一种先进的方法,其中包括全面的步骤:

所需权限

  • 在域中创建具有访问日志权限的服务帐户。
  • 将该帐户添加到“事件日志读取器”和“分布式 COM 用户”等组。
  • 使用本地策略或 GPO 授予管理审计日志的权限。
  • 如有必要,配置 WMI 访问和 DCOM 权限。
  Windows 10 中更改 Netflix 获取位置的方法

技术步骤

一旦获得许可:

  1. 启用通过防火墙的连接。
  2. 在目标服务器上启用事件收集器服务。
  3. 在源计算机上配置 WRM 协议。
  4. 通过指示源设备、日志类型和所需的过滤器从事件查看器创建订阅。

使用 Pandora FMS 进行监控

Pandora FMS 还提供了一种非常完整的方法来收集 Windows 和 Linux,将您的数据集成到 OpenSearch 并启用 SIEM 关联。

从 Windows 收集

  • 文本格式:用于 Apache 日志或自定义服务等文件。
  • 来自系统事件:使用以下方式定义过滤器 module_source (系统、应用程序、安全)和参数,例如 module_eventtype, module_eventcode, module_application.

从Linux中获取

使用模块来分析路线,例如 /var/log/messages o /var/log/secure 搜索模式。您可以排除成功的 HTTP 状态代码或使用正则表达式进行搜索。

集成系统日志服务器

激活选项 pandora_server.confPandora 可以使用多个处理线程和可配置队列直接通过 Syslog 接收日志。