Configurazione dell'accesso al registro per il polling remoto

Prima che un'origine log WinCollect possa eseguire il polling in remoto degli eventi, è necessario configurare una politica locale per i sistemi basati su Windows.

Quando una politica locale viene configurata su ogni sistema remoto, un singolo agent di WinCollect utilizza l'API del log eventi di Windows per leggere il registro remoto e richiamare i log eventi. L'API del log eventi di Windows non richiede credenziali di amministratore del dominio. Tuttavia, il metodo dell'API evento richiede un account che abbia accesso al registro remoto e al log eventi di sicurezza.

Utilizzando questo metodo di raccolta, l'origine log può leggere in remoto il log eventi completo. Tuttavia, il metodo richiede WinCollect per analizzare le informazioni del log eventi richiamate dall'host remoto rispetto al contenuto del messaggio memorizzato nella cache. WinCollect utilizza le informazioni sulla versione del sistema operativo remoto per garantire che il contenuto del messaggio sia analizzato correttamente prima di inviare l'evento a IBM® Security QRadar®.

Procedura

  1. Accedere al computer Windows di cui si desidera eseguire il polling in remoto per gli eventi.
  2. Selezionare Start > StartPrograms > Strumenti di amministrazione e fare clic su Criteri di protezione locali.
  3. Dal menu di navigazione, selezionare Politiche locali > Assegnazione diritti utente.
  4. Fare clic con il pulsante destro del mouse su Gestisci log di controllo e sicurezza > Proprietà.
  5. Dalla scheda Impostazioni di sicurezza locali , fare clic su Aggiungi utente o gruppo per aggiungere l'utente WinCollect alla politica di sicurezza locale.
  6. Scollegarsi dall'host Windows e provare a eseguire il polling dell'host remoto per gli eventi basati su Windows appartenenti all'origine log WinCollect .

    Se non è possibile raccogliere gli eventi per l'origine log WinCollect , verificare che la politica del gruppo non sovrascriva la politica locale. È anche possibile verificare che le impostazioni del firewall locale sull'host Windows consentano la gestione del log eventi remoto.