domingo, 29 de enero de 2012

Reenvío y recopilación de eventos (II)

Continuo con la segunda parte de este artículo sobre cómo realizar el reenvío y la recopilación de los eventos de un equipo Windows, la primera parte se puede localizar en este enlace.

En la anterior parte mostré como configurar el equipo de origen para permitir las peticiones de Administración remota de Windows (WinRM) y en este segunda parte mostraré cómo configurar el equipo recopilador.
El primer paso es configurar la utilidad del colector de eventos de Windows (Wecutil) en el equipo recopilador para permitir su ejecución. En el caso de este tutorial utilizaré el modo de configuración rápida, pero al igual que siempre indico este no es el método más recomendado para un sistema en producción.

Para realizar este paso se debe ejecutar el comando wecutil qc desde una consola de simbolo de sistema con privilegios tal y como se muestra en la siguiente figura.

Ilustración 1. Ejecución del comando wecutil
El segundo paso es crear un suscripción a los eventos que se desea recibir del equipo origen, para ello se debe abrir la consola de visor de eventos y una vez se haya seleccionado la carpeta Suscripciones se deben hacer clic con el botón derecho del ratón y seleccionar la opción Crear suscripción tal y como se muestra en la siguiente figura.

Ilustración 2. Creación de una suscripción
Una vez se ha seleccionado la opción de Crear suscripción se abre una ventana de dialogo donde se pueden configurar todos los aspectos de la suscripción. Para este artículo se han configurado los aspectos que se muestras en la figura siguiente.

Ilustración 3.  Propiedades de una suscripción
Los campos de Nombre de suscripción y Descripción son lo suficientemente autodescriptivos para no necesitar mayor explicación.

Ilustración 4. Nombre y descripción de la suscripción
El despleglable de Registro de destino permite seleccionar en qué archivo de registro se van a almacenar los eventos recopilados, en el caso de este artículo se ha dejado el valor por defecto que es el registro de Eventos reenviados.

Ilustración 5. Selección del regisotr de destino
En la tercera sección denominada Tipo de suscripción y equipos de origen, he seleccionado la opción más sencilla de configurar que es que sea el equipo recopilador el que proporcione la suscripción. Para ello es necesario seleccionar el botón de radio con el título Iniciada por el recopilador y hacer click sobre el botón Seleccionar equipos.... Una vez esto aparecerá un cuadro de dialogo dónde se permite localizar la cuenta en Directorio Activo del equipo de origen haciendo clic en el botón Agregar equipos de dominio tal y cómo muestra la siguiente secuencia de figuras.

Ilustración 6. Adición de equipos de origen a la suscripción

Ilustración 7. Selección de equipo de origen
Ilustración 8. Ventana de equipos de origen añadidos
Una vez se ha añadido el equipo a la suscripción es deseable realizar una comprobación previa para asegurarse que el equipo de origen es accesible desde el equipo receptor. Para ello se debe hacer clic sobre el botón Probar.

Ilustración 9. Prueba de conexión con el equipo origen
Si las prueba es correcta se mostrará un mensaje como el de la siguiente figura.

Ilustración 10. Prueba de conexión con el equipo origen correcta
Lo siguiente que es necesario hacer es seleccionar los tipos de eventos que se desean recopilar, para lo que se debe hacer clic sobre el botón Seleccionar eventos... y generar el filtro tal y como se muestra en la siguiente figura.

Ilustración 11. Filtro de eventos de la suscripción
Lo último que queda pendiente por realizar para completar la suscripción es cambiar las credenciales que va a disponer de los permisos de lectura necesarios en los registros de eventos de origen, en el caso de este artículo se ha configurado la cuenta de Administrador del dominio, algo que logicamente no es nada recomendable en un entorno de producción.

Ilustración 12. Cambio de las credenciales de acceso a los registros de eventos
Y con esta última tarea se habrá completado la configuración de la suscripción en el equipo recopilador de evento.

Ilustración 13.  Visor de eventos con la suscripción generada.
En la última entrega de este artículo verificaré el correcto funcionamiento de la suscripción generando un evento manualmente en el equipo de origen y verificando que es reenviado al equipo recopilador.

No hay comentarios:

Publicar un comentario