Microsoft Windows Event Sender (WES) (Deprecated)

Program se nainstaluje jako Windows služba. Tato služba je přímo napojená na interní logovací systém Windows. V případě, že je zalogována nová událost, je v reálném čase zpracována službou, rozparsována do potřebného formátu a odeslána na Logmanager server.

Na nových verzích LOGmanager 3.9.X nelze provést registraci nově nainstalovaných WES agentů. Vývoj WES agenta byl ukončen a nahrazen novým Logmanager Beat Agentem. Již nainstalovaní/registrovaní WES agenti budou nadále fungovat. Jedná se opravdu jen o nové instalace “starých” WES agentů, ti jsou označováni jako “legacy” či “deprecated”. Proto doporučujeme přejít na nové Logmanager Orchestrator.

Od verze 3.10 bude možné automaticky migrovat WES agenta do nového Orchestratoru. Jak na to se dozvíte zde: Na co si dát pozor při migraci na nového Agenta?

• Windows Vista
• Windows 7
• Windows 8
• Windows 10
• Windows 2008 server
• Windows 2008 R2 server
• Windows 2012 server
• Windows 2012 R2 server
• Windows 2016 server
• Windows 2019 server

Windows XP a Windows server 2003 NEJSOU podporovány.

• Nastavené DNS SRV záznamy

• Před instalací služby je nutné mít na stanici/serveru nainstalován Microsoft .NET v minimální verzi 4.5

  Ke stažení z webu Microsoft nebo zde:

  http://go.microsoft.com/fwlink/?LinkId=255995

  Pokud není aplikace instalována pomocí Group Policy je nutné instalaci spustit s oprávněním Administrátora.

Pro zajištění co nejjednodušší konfigurace koncových stanic/serverů používá EventSender zjišťování IP adresy Logmanager serveru pomocí DNS.

IP adresa Logmanager serveru je automaticky zjišťována pomocí DNS SRV dotazu v následujícím formátu:

_logmanager._tcp.<naše-doména>

Pro přidání SRV záznamů je nutné otevřít správu DNS serveru a přidat do aktuální domény, do podadresáře _tcp, dva nové SRV záznamy.

První SRV záznam musí mít cestu:

_logmanager._tcp.<naše-doména>

První SRV záznam musí obsahovat následující:

• service: _logmanager
• protocol: _tcp
• port number: 20514
• host offering this service: <doménové jméno Logmanageru s tečkou na konci!>

Druhý SRV záznam slouží pro šifrovanou komunikaci a musí mít zadanou cestu:

_logmanager-ssl._tcp.<naše-doména>

Druhý SRV záznam musí obsahovat následující:

• service: _logmanager-ssl
• protocol: _tcp
• port number: 20515
• host offering this service: <doménové jméno Logmanageru s tečkou na konci!>

Služba pro přeposílání logů i služba pro získávání aktualizací používá DNS SRV záznamy pro automatické zjištění IP adresy Logmanager serveru.

Stanice/server pošle DNS SRV dotaz v tomto formátu:

_logmanager._tcp.<název své AD domény>
(příklad: _logmanager._tcp.example.com)

Z informací v SRV záznamu se automaticky nastaví IP adresa, na kterou se odesílají rozparsované logy.

Pokud stanice/server není součástí Active Directory, tak se DNS discovery přepne do fallback režimu a pro zjištění IP adresy Logmanager serveru zkusí použít DNS suffix, který má stanice nastaven staticky nebo z DHCP serveru. PC které jsou součástí AD, hledají vždy pouze SRV záznam, který odpovídá FQDN názvu své domény!

V příkazovém řádku spustit následující:

nslookup
set type=srv
_logmanager._tcp.<název AD domény>

Vrácená data, by měla vypadat například takto:

> set type=srv
> _logmanager._tcp.example.com
Server:  Unknown
Address:  192.0.2.10

_logmanager._tcp.example.com      SRV service location:
          priority       = 0
          weight         = 0
          port           = 20514
          svr hostname   = logmanager.example.com

SRV hostname je IP adresa, na kterou budou zasílány logy + adresa proti které bude prováděna kontrola na novější verze Windows senderu.

Součástí instalace EventSenderu je i mechanismus pro automatickou aktualizaci a konfiguraci agenta. Při spuštění klienta a pak další každou hodinu od spuštění, se agent připojí pomocí HTTPS protokolu na Logmanager server a stáhne si XML soubor s informací o aktuální verzi agenta a aktuální verzi konfigurace.

Pokud je k dispozici nová verze agenta, agent stáhne nové binární soubory, ověří zda jsou podepsány důvěryhodným kvalifikovaným certifikátem Logmanager a.s. a poté spustí aktualizační skript. Skript zastaví službu, provede aktualizaci souborů agenta a opětovňě službu spustí.

V případě novější konfigurace je použit stejný mechanismus.

Pokud je již v provozu Group Policy a sdílená složka pro automatickou instalaci MSI balíčků, doplníme jen Logmanager do již existujícího prostředí.

Pokud Group Policy a sdílené složky využity nejsou, vytvoříme je.

Stažení instalačního balíčku je dostupné v menu zdroje ‣ nastavení Windows. Kliknutím na tlačítko stáhnout instalační balíček klienta Windows získáte poslední dostupnou verzi agenta WES.

Všechny instalační soubory vydané Logmanager a.s. jsou podepsány kvalifikovaným certifikátem. Po stažení si prosím zkontrojte, zda je MSI balíček správně podepsán.

Zvolte vlastnosti staženého MSI souboru a přejděte na kartu digitální podpisy.

Informace o podpisu získáte kliknutím na tlačítko podrobnosti.

Podpisový certifikát zobrazíte kliknutím na tlačítko zobraz certifikát.

1. Na libovolném FileServeru vytvoříme složku (např. D:\Logmanager) a zapneme na ní sdílení (např. pod názvem LM$)

   • Práva pro zabezpečení složky i pravidla pro sdílení je nutné nastavit na čtení / read pro authenticated users nebo pro Everyone.
   • Do vytvořené složky nakopírujeme instalační MSI EventSenderu.

2. Na DC Vytvoříme Group Policy Objekt s názvem Instalace LogManager a nalinkujeme jej na OU, které obsahuje PC na kterých má být EventSender nainstalován

   • Na nově vytvořenou GPO klikneme pravým tlačítkem myši a dáme Edit.

   • V editaci GPO najdeme složku Computer Configuration\Policies\Software Settings\Software Instalation.

   • Klikneme pravým tlačítkem a vybereme možnost „New / Package“, zadáme cestu k MSI balíčku v UNC formátu (např. %%\\servername\LM$\Logmanager_Event_Sender.msi%%).

     POZOR název souboru nesmí obsahovat mezery!!!

   • Možnost Deploy Software v následném dialogu nastavíme na Assigned.

3. Na klientské stanici/serveru dáme příkaz gpupdate / force, restartujeme PC a zkontrolujeme, jestli se EventSender nainstaloval.

Pokud instalace neproběhla, zkontrolujeme System EventLog dané stanice / serveru.

Pokud instalace skončila chybou 1274 nebo 1612, má stanice problém s přístupem k síťové složce s instalací a je třeba opravit oprávnění sdílené složky.

Dále je možné upravit „Default Domain Policy“ takovým způsobem, aby vznikl čas na zpracování instalační GPO - zde je treba nastavit:

• Computer Configuration/Administrative Templates/System/Logon/Always wait for network = Enabled.
• Computer Configuration/Administrative Templates/System/Group Policy/Startup policy processing wait time = enabled + nějaký rozumný čas (například 45s).

Pokud instalace skončila chybou 1001, je nutné instalaci spustit s oprávněním správce. Kliknutím pravým tlačítkem myši na ikonu instalátoru lze zvolit položku spustit jako správce.