ドメイン・コントローラー資格情報の制限付きポリシーが適用されるシステムでの構成オプション
適切なリモート・アクセス権を持つユーザーは、ドメイン管理者資格情報を使用せずにリモート・システムからイベントを収集できる場合があります。 収集する情報によっては、ユーザーに追加の権限が必要な場合があります。 例えば、リモート側でセキュリティー・イベント・ログを収集するには、 したがって、 QRadar® ログ・ソースで構成されているユーザーは、エージェントがインストールされているサーバーからセキュリティー・イベント・ログにリモート・アクセスできる必要があります。
制約事項:
リモート収集の場合、 WinCollect ユーザーは、Windows 管理者と連携して、以下の項目に確実にアクセスできるようにする必要があります。
- セキュリティー、システム、およびアプリケーションのイベント・ログ
- リモート・レジストリー
- メッセージ・ストリング情報が含まれている .dll ファイルまたは .exe ファイルが格納されているすべてのディレクトリー
Windows オペレーティング・システムとグループ・ポリシーの特定の組み合わせが適用されている場合、代替構成を使用できない可能性があります。
Windows ドメインの内部または全体でのリモート収集では、イベントを確実に収集できるようにするために、ドメイン管理者の資格情報が必要になる場合があります。 企業ポリシーによってドメイン管理者の資格情報の使用が制限されている場合、 WinCollect デプロイメントに対して追加の構成ステップを実行する必要が生じることがあります。
WinCollect がサポートするリモート・ポーリング・ログ・ソースにサービス・アカウントがアクセスするには、以下の権限と資格情報が必要です。
| 許可 | ログ・ソース |
|---|---|
| サービス・アカウントは、ログ・ファイルが格納されているフォルダーにアクセスして、ファイルを開くことができなければなりません。 |
|
| ログ・ソース・ユーザーは、「Event Log Readers」グループのメンバーでなければなりません。 このグループが構成されていない場合、ドメイン全体で Windows イベント・ログをポーリングするには、通常、ドメイン管理特権が必要です。 | Microsoft Windows Security Event Log |
WinCollect エージェントがローカル・ホストからイベントを収集する場合、イベント収集サービスは、ローカル・システムのアカウント資格情報を使用してイベントを収集し、転送します。 ローカル収集では、ローカル収集が行われるホストに WinCollect エージェントをインストールする必要があります。