転送されたイベント

転送されたイベントをよりよく理解するには、Windows Event Forwarding (WEF) を構成してセットアップする方法を理解すると役立ちます。

Windows イベント転送の基本

Windows Event Forwarding (WEF) は、最新バージョンの Microsoft Windowsに統合された強力なログ転送ソリューションです。 WEF の詳細な資料は、 Microsoft Documentation ページから入手できます。 以下のリストは、WEF の要約です。

  • Windows Event Forwarding は、プッシュまたはプル・メカニズムを介して、1 つ以上の集中 Windows Event Collector (WEC) サーバーにイベント・ログを送信する機能を提供します。
  • WEF はエージェント・フリーであり、オペレーティング・システムに統合されたネイティブ・コンポーネントに依存します。 WEF は、Windows のワークステーションとサーバーの両方のビルドでサポートされています。
  • WEF は、Kerberos (ドメイン内) を介した相互認証と暗号化をサポートします。また、TLS (追加認証または非ドメイン結合マシン) を使用して拡張することもできます。
  • WEF には、サブミットされるイベント ID を制御し、ノイズの多いイベントを抑止し、イベントをまとめてバッチ処理し、サブミットの頻度を構成するための豊富な XML ベースの言語があります。 サブスクリプション XML は、 XPathのサブセットをサポートします。これにより、関心のあるイベントを選択するための式の作成プロセスが簡素化されます。

WEC サーバーの制限

WEC サーバーのスケーラビリティーを制限する要因は 3 つあります。 コモディティー・ハードウェア上の安定した WEC サーバーの一般規則は、 “10k x 10kです。これは、WEC サーバー当たりの並行アクティブ WEF クライアント数が 10,000 個以下で、平均イベント・ボリューム当たりのイベント数が 10,000 個以下であることを意味します。
ディスク入出力
WEC サーバーは受信したイベントの処理や検証は行わず、代わりに、受信したイベントをバッファーに入れたうえでローカル・イベント・ログ・ファイル (EVTX ファイル) に記録します。 EVTX ファイルへのロギング速度はディスクの書き込み速度によって制限されます。 EVTX ファイルを独自のアレイに分離するか、高速ディスクを使用すると、単一の WEC サーバーが受信できる 1 秒当たりのイベント数を増やすことができます。
ネットワーク接続
WEF ソースは、WEC サーバーへの永続的な持続接続を維持しませんが、イベントの送信後すぐに切断することはありません。 つまり、WEC サーバーに同時に接続できる WEF ソースの数は、WEC サーバーで使用可能なオープン状態の TCP ポートに限定されるということです。
レジストリー・サイズ
WEF サブスクリプションに接続されている固有のデバイスごとに、ブックマークとソースのハートビート情報を保管するためのレジストリー・キー (WEF クライアントの FQDN に対応します) が作成されます。 非アクティブ・クライアントを除去するためにこの情報が整理されない場合、このレジストリー・キーのセットは、時間の経過とともに管理不能なサイズにまで増大する可能性があります。
  • 運用上の存続期間 (存続期間 WEF ソース) を通じて 1000 を超える WEF ソースがサブスクリプションに接続されている場合、イベント・ビューアーのサブスクリプション・ノードは数分間応答しなくなる可能性がありますが、その後は通常どおり機能します。
  • 存続時間が 50,000 を超える WEF ソースでは、イベント・ビューアーはオプションではなくなったため、 wecutil.exe (Windows に付属) を使用してサブスクリプションを構成および管理する必要があります。
  • 存続時間が 100,000 を超える WEF ソースでは、レジストリーは読み取ることができなくなり、WEC サーバーの再作成が必要になる場合があります。
大きな配備制限
大規模な展開の場合、たとえば、40,000~100,000台のソースコンピュータを展開する場合、コレクタごとに2,000~4,000台以下のクライアントを持つ複数のコレクタを展開することをお勧めします。

また、1つまたは2つのサブスクリプションを構成した2,000から4,000のクライアントの平均負荷をサポートするために、コレクタに少なくとも16 GBのRAMと4つのプロセッサをインストールすることをお勧めします。 高速なディスクを推奨し、ForwardedEvents ログを別のディスクに置くとパフォーマンスが向上します。

詳細については、Windows Server で EventLog 転送を構成するためのベスト プラクティスを参照してください。

WinCollect の構成

Windows Event Forwarding を構成した後、WEF イベントを収集するように WinCollect エージェントを構成できます。
  • Windows イベント・コレクター (WEC) サーバーに WinCollect 10 エージェントをインストールします。
  • Windows イベント (デフォルト) ソースを構成し、チャネルとして 転送されたイベント (WEF) を選択します。
  • 変更をデプロイします。
注:
  • WEF 環境でエージェントによってサポートされる最大 EPS は 10,000 EPS です。
  • WinCollect エージェントは、ユーザー・インターフェースに単一のソースのみを表示しますが、そのソースは、潜在的に数百のイベント・サブスクリプションのイベントを listen して処理します。 エージェント・リスト内の 1 つのソースは、すべてのイベント・サブスクリプション用です。 エージェントは、サブスクリプションからイベントを認識し、コンテンツを処理してから、Syslog イベントを QRadar®に送信します。
  • 転送されたイベントは、 ログ・アクティビティー タブに Windows 認証 @<hostname> として表示されます。

追加情報

大規模なWindowsイベントコレクションの実装の管理については、https://www.ultimatewindowssecurity.com/webinars/watch_get.aspx?Attach=1&Type=SlidesPDF&ID=1426.

Windows イベント転送を使用して侵入検知を支援する方法の詳細については、https://docs.microsoft.com/en-us/windows/security/threat-protection/use-windows-event-forwarding-to-assist-in-intrusion-detection を参照してください。