Encaminhando eventos de um Windows Server 2008 R2 Server Core

3 de abril de 2011 Daniel Donda Windows Server, Windows Server Core 0

Usando o recurso de Collector Initiated subscription no visualizador de eventos, podemos com o uso do Windows Remote Management (WinRM) encaminhar determinados eventos de um computador com Windows Server Core para um computador que executa uma versão completo do Windows a fim de facilitar a leitura.
O Winrm habilita o gerenciamento remoto através do HTTP usando o WS-Management protocol. Criando um listener (ouvinte) na porta 5985 no Windows Server 2008 R2, no Windows Server 2008 a porta padrão é a porta 80:

Neste cenário, eu possuo dois servidores
Windows Server 2008 R2 Server Core  – Membro do domínio
Windows Server 2008 R2 – Controlador de domínio.

Logado como administrador no Windows Server 2008 Server Core execute o comando:

Winrm quickconfig
ou simplesmente
winrm qc
Pressione Y quando solicitado.
image

Digite:
winrm enumerate winrm/config/listener
Para listar informações sobre o Listener.

image

O Winrm já configurou o firewall para o o listener, porém a fim de fazer uso do recurso de colletor do event viewer é necessário permitir no firewall a administração remota.
netsh firewall set service type=remoteadmin mode=enable

image

No servidor com a instalação completa do Windows Server 2008 R2, abra o “Event Viewer

Start / Run / Event Viewer

No menu lado esquerdo, clique em Subscriptions e em seguida clique YES para iniciar o serviço “Windows Event Collector

image
No lado direito clique em “Create Subscription”, forneça um nome e descrição.
Em destination Logs é interessante deixar o padrão que é “Forwarded Events”.
image

Em seguida clique em “Select Computers”.
Selecione o computador de seu domínio e clique em Test para verificar a conectividade:
Note que pode haver mais computadores, vamos adicionar apenas um para entender a funcionalidade.
Clique OK.

image

Clique no botão “Select Events
Aqui você pode fazer o filtro que desejar, para todos os tipos de eventos.
Neste exemplo eu selecionei avisos e erros dos eventos de “Aplicação e Sistema”
image

Após selecionar os eventos clique OK e clique em Advanced.
Selecione a opção “Specific User” e forneça um usuário com credenciais para ler logs.
Você pode criar um usuário específico e adiciona-lo ao grupo Event Log Readers

Você também pode adicionar a conta de computador ao grupo.
Neste exemplo vou utilizar a credencial do Administrador.

image

Clique OK

Agora você pode visualizar os logs do computador remoto, clicando em “Forwarded Logs”.
image

Validado no Windows Server 2008 R2
Artigo migrado –  3638 acessos até a data de migração. 03/10/2015

Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais
Website Facebook Instagram Twitter YouTube Linkedin

Artigos Relacionados

Hacking

Haxx0r

12 de julho de 2011 Daniel Donda Hacking 0

Esse simbolo ao lado não representa os Hackers. ele representa uma cultura,  a cultura hacker. Existem várias definições na Internet para os hackers e vamos entender um pouco delas agora. Esse simbolo foi proposto por […]

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*