我们正在尝试在我们的环境中设置 Windows 事件转发 (WEF),但遇到了一些问题。我们设置了一个 GPO(如下所示)以启用将事件转发到本地收集服务器,并且我们配置了连接服务器。收集器机器显示为已正确订阅,但我们正在测试的另一台机器未连接到收集服务器。
在无法转发日志的源机器上,我们在Application and Services Logs -> Microsoft -> Windows -> Eventlog ForwardingPlugin下看到以下错误
The forwarder is having a problem communicating with subscription manager at address
http://Collector.corp.company.com:5985/wsman/SubscriptionManager/WEC.
Error code is 5 and Error Message is
<f:WSManFault xmlns:f="http://schemas.microsoft.com/wbem/wsman/1/wsmanfault" Code="5"
Machine="SourceMachine.corp.company.com"><f:Message>Access is denied. </f:Message></f:WSManFault>.
在收集器机器上,我们在Application and Services Logs -> Microsoft -> Windows -> Windows Remote Management -> Operational下看到以下错误
The authorization of the user failed with error 5
有关收集器服务器错误的更多详细信息:
Source: Windows Remote Managment
Event ID: 192
Level: Information Task Category: User Authorization
User: Network Service Keywords: Security,Server
OpCode: Informational Computer: Collector.corp.company.com
正在申请的 GPO:
好的,经过大量阅读和研究,我似乎发现了一些有用的东西。具体来说,问题在于正在使用的频道访问令牌。此令牌的值应为:
应该为Computer Configuration -> Administrative Templates -> Windows Components -> Event Log Service -> Security设置此值。在我们的例子中,我在上面显示的注册表设置中使用了相同的值。
关键是添加
(A;;0x1;;;S-1-5-20)到末尾而不是(A;;0x1;;;NS)以下是我发现/用于使其正常工作的一些有用链接:
希望这会帮助其他一些人,因为这对我们来说是一种痛苦。
我们有完全相同的行为和错误消息(...失败并出现错误 5),但我们的解决方案是计算机配置 -> 管理模板 -> Windows 组件 -> Windows 远程管理 -> WinRM 服务 -> 允许远程服务器下的通配符通过 WinRM 管理。正如大多数文章中所述,我们只是在其中添加了一个星号 (*),并且已经运行了一年多,但在 2020 年 7 月的 Microsoft 补丁之后,它就停止了工作。我手动放入我们使用的子网并重新启动收集器上的 Winrm 服务,事情又开始流动了。