Eventi inoltrati

Per comprendere meglio quali sono gli eventi inoltrati, è utile comprendere come configurare e configurare Windows Event Forwarding (WEF).

Informazioni di base sull'inoltro di eventi Windows

Windows Event Forwarding (WEF) è una potente soluzione di inoltro dei log integrata nelle moderne versioni di Microsoft Windows. La documentazione dettagliata di WEF è disponibile nella pagina Documentazione Microsoft. Il seguente elenco è un riepilogo del WEF:

  • Windows Event Forwarding fornisce la possibilità di inviare i log degli eventi, tramite un meccanismo push o pull, a uno o più server WEC (Windows Event Collector) centralizzati.
  • WEF è privo di agent e si basa su componenti nativi integrati nel sistema operativo. WEF è supportato sia per la workstation che per le build del server di Windows.
  • WEF supporta l'autenticazione e la crittografia reciproca tramite Kerberos (in un dominio) o può essere esteso tramite l'utilizzo di TLS (autenticazione aggiuntiva o per macchine non unite da dominio).
  • WEF dispone di un linguaggio basato su XML per controllare quali ID evento vengono inoltrati, eliminare gli eventi rumorosi, raggruppare gli eventi e configurare la frequenza di inoltro. L'XML di sottoscrizione supporta un sottoinsieme di XPath, che semplifica il processo di scrittura delle espressioni per selezionare gli eventi a cui si è interessati.

Quali sono le limitazioni del server WEC?

Tre fattori limitano la scalabilità dei server WEC. La regola generale per un server WEC stabile su hardware di base è “10k x 10k," che significa non più di 10.000 client WEF contemporaneamente attivi per server WEC e non più di 10.000 eventi per volume di eventi medio al secondo.
I/E disco
Il server WEC non elabora o convalida l'evento ricevuto, ma piuttosto memorizza nel buffer l'evento ricevuto e quindi lo registra in un file di log eventi locale (file EVTX). La velocità di registrazione nel file EVTX è limitata dalla velocità di scrittura del disco. L'isolamento del file EVTX al proprio array o l'utilizzo di dischi ad alta velocità può aumentare il numero di eventi al secondo che un singolo server WEC può ricevere.
Connessioni di rete
Mentre un'origine WEF non mantiene una connessione permanente e persistente al server WEC, non si disconnette immediatamente dopo aver inviato gli eventi. Ciò significa che il numero di origini WEF che possono connettersi simultaneamente al server WEC è limitato alle porte TCP aperte disponibili sul server WEC.
Dimensione registro
Per ogni dispositivo univoco che si connette ad una sottoscrizione WEF, viene creata una chiave di registro (corrispondente all'FQDN del client WEF) per memorizzare le informazioni heartbeat di origine e di segnalibro. Se queste informazioni non vengono eliminate per rimuovere i client inattivi, questa serie di chiavi del Registro di sistema può aumentare fino a raggiungere una dimensione non gestibile nel tempo.
  • Quando una sottoscrizione ha più di 1000 origini WEF che si collegano ad essa nel corso della sua durata operativa (origini WEF di durata), il nodo Sottoscrizioni nel Visualizzatore eventi può non rispondere per alcuni minuti, ma funzionerà normalmente in seguito.
  • Con più di 50.000 origini WEF di durata, il Visualizzatore eventi non è più un'opzione ed è necessario utilizzare wecutil.exe (incluso con Windows) per configurare e gestire le sottoscrizioni.
  • Con una durata superiore a 100.000 origini WEF, il registro non è più leggibile e potrebbe essere necessario ricostruire il server WEC.
Grandi limitazioni di distribuzione
Per distribuzioni di grandi dimensioni, ad esempio se si distribuiscono da 40.000 a 100.000 computer sorgente, si consiglia di distribuire più di un collettore con 2.000 o al massimo 4.000 client per collettore.

Inoltre, si consiglia di installare almeno 16 GB di RAM e quattro processori sul collettore per supportare un carico medio di 2.000-4.000 client con uno o due abbonamenti configurati. Si consiglia di utilizzare dischi veloci e il registro ForwardedEvents può essere collocato su un altro disco per migliorare le prestazioni.

Per ulteriori informazioni, vedere Best practice per la configurazione dell'inoltro di EventLog in Windows Server.

WinCollect configurazione

Dopo aver configurato l'inoltro di eventi Windows, è possibile configurare l'agente WinCollect per raccogliere gli eventi WEF:
  • Installare l'agent WinCollect 10 sui server WEC (Windows Event Collector).
  • Configurare un'origine Eventi Windows (predefinito) e selezionare Eventi inoltrati (WEF) come canale.
  • Distribuire le modifiche.
Nota:
  • L'EPS massimo supportato dall'agent in un ambiente WEF è 10.000 EPS.
  • Sebbene l'agent WinCollect visualizzi solo una singola origine nell'interfaccia utente, l'origine è in ascolto ed elabora gli eventi per potenzialmente centinaia di sottoscrizioni di eventi. Un'origine nell'elenco di agent è per tutte le sottoscrizioni evento. L'agent riconosce l'evento dalla sottoscrizione, elabora il contenuto e invia quindi l'evento Syslog a QRadar®.
  • Gli eventi inoltrati vengono visualizzati come Windows Auth @ < nomehost> nella scheda Log Activity .

Ulteriori informazioni

Per ulteriori informazioni sulla gestione di grandi implementazioni di Raccolta eventi di Windows, vedere https://www.ultimatewindowssecurity.com/webinars/watch_get.aspx?Attach=1&Type=SlidesPDF&ID=1426.

Per ulteriori informazioni sull'uso dell'inoltro degli eventi di Windows per aiutare il rilevamento delle intrusioni, vedere https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection.