Přeskočit obsah

Konfigurace WEC

Specifikace vstupu: input:WEC: 

listen:  # Kde zveřejnit server, "5985" pro HTTP s autentizací Kerberos nebo "5986 ssl" pro HTTPS s autentizací pomocí certifikátu
output:  # Kam se mají posílat příchozí události

queries:  # Dotazy na události Windows oddělené novými řádky, které určují, které události Windows by měly být načteny do odběrů
read_existing_events:  # (nepovinné) Upozorní stroje s Windows, zda mají poslat stávající události (true/false, výchozí: true)

last_value_storage:  # Trvalé úložiště pro aktuální poslední hodnotu (výchozí: ./var/last_value_storage)
connection_retries:  # (nepovinné) Kolik pokusů lze akceptovat od strojů s Windows v řadě (výchozí: 60)
connection_retries_wait:  # (nepovinné) Jak dlouho v sekundách čekat na opakování pokusu o připojení (výchozí: 10.0)
heartbeat:  # (nepovinné) Jak často v sekundách by měla být volána kontrola spojení při odběrech (výchozí: 60)

backlog:  # (nepovinné) Určete počet nevyřízených připojení, která fronta udrží (výchozí: 128)
servertokens:  # (nepovinné) Ovládá, zda bude zahrnuto pole hlavičky odpovědi 'Server' ('full') nebo bude falešné 'prod' (výchozí: full)
cors: # (nepovinné) Určete atributy CORS (výchozí: žádné)

cert:  # Určete cestu k certifikátu WEC serveru
key:  # Určete cestu k soukromému klíči WEC serveru 
issuer_thumbprints:  # Určete SHA1 otisky palce certifikátu vydavatele (CA) oddělené mezerami (např. d6986fef2104f21ab0c7ccb279217abe29c0808a)
password:  # (nepovinné) Zadejte heslo k souboru s privátním klíčem (výchozí: žádné)
cafile:  # (nepovinné) Určete soubor pro ověření peeru (výchozí: žádné)
capath:  # (nepovinné) Určete cestu pro ověření peeru (výchozí: žádné)
ciphers:  # (nepovinné) Určete vlastní SSL šifry (výchozí: žádné)
dh_params:  # (nepovinné) Parametry Diffie–Hellman (D-H) pro výměnu klíčů (TLS) (výchozí: žádné)
verify_mode:  # (nepovinné) Prázdné nebo jedna z CERT_NONE, CERT_OPTIONAL nebo CERT_REQUIRED

Dotazy

Nastavení queries s dotazy na události Windows může vypadat následovně (název dotazu následovaný jeho definicí):

input:WEC:WECInput:
  ...
  queries:
    Application: "*[System[(Level=1 or Level=2 nebo Level=3 nebo Level=4 nebo Level=0 nebo Level=5)]]"
    System: "*[System[(Level=1 or Level=2 nebo Level=3 nebo Level=4 nebo Level=0 nebo Level=5)]]"
    Security: "*[System[(Level=1 or Level=2 nebo Level=3 nebo Level=4 nebo Level=0 nebo Level=5)]]"
    Setup: "*[System[(Level=1 or Level=2 nebo Level=3 nebo Level=4 nebo Level=0 nebo Level=5)]]"

Dotazy mohou být specifikovány pro každý typ logu událostí Windows, včetně:

  • Application pro aplikace
  • System pro systémové logy
  • Security pro bezpečnostní logy
  • Setup pro logy týkající se instalací nebo aktualizací

Dotazy mohou být omezeny na určité IP adresy zdrojů nebo ID strojů pomocí YAML seznamu identifikátorů na konci dotazu. ID stroje je unikátní pro každý stroj s Windows a je založeno na doménovém hostname.

  queries:
    System:
      "*[System[(Level=1 or Level=2 nebo Level=3 nebo Level=4 nebo Level=0 nebo Level=5)]]"

    Security:
      "*[System[(Level=1 or Level=2 nebo Level=3 nebo Level=4 nebo Level=0 nebo Level=5)]]"
    ...
    Application:
      "*[System[(Level=1 or Level=2 nebo Level=3 nebo Level=4 nebo Level=0 nebo Level=5)]]":
        - 192.168.111.128
        - 192.168.111.128
        - "APP.example.com"
    ...

Tímto způsobem budou logy aplikací odesílány pouze z Windows strojů s IP adresami 192.168.111.128, 192.168.111.128 a s ID stroje APP.example.com (jejich odběr bude obsahovat dotaz na aplikace).