Nach dem letzten Beitrag zur zentralen Syslog Analyse durch Splunk, möchte ich nun eine weitere Möglichkeit zur zentralen Loganalyse aufzeigen. Diesmal steht eine Windows Server Umgebungen mit ihren EventLogs im Fokus. Splunk hat auch speziell für solche Umgebungen passende Schnittstellen parat. Hier will ich die Funktion zur Remote Ereignisprotokolle aufzeigen.
Systemvorraussetzung auf dem Splunk Server
Voraussetzung für die Auswertung von Windows Eventlogs ist in diesem Fall ein auf einem Windows Server installierte Splunk Instanz notwendig. Die von Splunk zur Verfügung gestellter Data Input Schnittstelle „Remote event log collections“ sind nur in der Windows Version vorhanden. Ist auch verständlich, da Splunk für den Remote Zugriff den auf dem gehosteten Windows Server vorhanden WMI (Windows Management Instrumentation) verwendet. Konkreter verwendet der unter Splunk laufende Systemuser diese WMI Schnittstelle. Daher muss Splunk auf jeden Fall mit einem Domain User laufen, welcher die benötigten Credentials (Berechtigungen) auf dem entfernten Windows Servern hat.
Systemvorraussetzungen auf dem Windows Server
Die schnellste Methode zum Erfassen der Eventlogs ist die Mitgliedschaft des Domain Users „splunkuser“ in die lokale Admingruppe des Zielrechners. Für erste Tests zur Erfassung der Eventlogs von einem Server kann man dies durchführen.
Aus Sicherheitstechnischen Gründen ist aber nicht Ratsam, mit einem einzelnen User Account auf vielen Zielrechnern mit lokalen Adminrechten zu agieren. Daher müssen drei Komponenten auf dem Zielserver angepasst werden:
Anpassung der lokalen Sicherheitsrichtlinien auf dem Zielserver
Als ersten Schritt muss der Domain User die Berechtigung für das Auslesen von Event Logs bekommen. In der Regel haben Mitglieder der lokalen Admingruppe Zugriffsrechte. Hier wird aber der Splunk Domain User eingetragen.
Server Manager -> Tools -> Local Security Policy -> Local Policies -> User Right Management -> Manage auditing and security log Properties
Anpassung der RPC Schnittstelle
Damit der User Remote auch eine entsprechende RPC (Remote Procedure Call) Kommunikationen initiieren kann, muss die Einstellung zu Launch and Activation Permission vom DCOM (Distributed Component Object Model) für den Splunk Domain User angepasst werden.
Server Manager -> Tools ->Component Services -> COM Security -> Launch and Activation Permissions -> Edit Limits
Anpassung der WMI Sicherhetisrichtlinien
Als letztes muss unter den WMI Parametern dem Splunk User eine entsprechende Berechtigungen für den Standard Namespace CIMV2 gewährt werden.
wmimgmt.msc -> WMI Control (local) -> Security -> CIMV2 -> Properties
Anbinden von Remote Eventlogs unter Splunk
Unter der Windows Version von Splunk gibt bei der Auflistung Data Inputs den Punkt Remote-Ereignisprotokolle. Hierbei muss nur der entfernte Host angegen werden. Im Hintergrund wird dann per WMI unter dem aktuell laufenden Serviceuser eine entsprechende Abfrage gestellt. Bei der Auflistung kann man definieren, welche Logs für einen interessant zum sammeln sind.