Monitorización de logs en equipos Windows

La monitorización de logs de equipos Windows se realiza a través de WMI. Para que CNM pueda monitorizar dichos logs utilizando usuarios locales hay que configurar los equipos.

CONFIGURACIÓN DE LOS EQUIPOS WINDOWS

Los pasos que deben seguirse son:

- Ir a Inicio > Control Panel > Administrative Tools > Computer Management. En el panel de la izquierda abrir el grupo de Local Users and Groups, entrar en Users y hacer doble click en el usuario que queramos utilizar.

- Añadir el usuario a los grupos:

- Distributed COM Users
- Performance Monitor Users

- En la ventana de Computer Management expandir la rama Services y Applications. Hacer botón derecho > Propiedades en la rama WMI Control.

- En la solapa de Security hay que ir al namespace que nos interese (por ejemplo Root\CIMV2) y pulsar en el botón Security. Añadir el usuario y darle los permisos:

- Execute Methods
- Enable Account
- Remote Enable

A partir de aquí, dependiendo de la versión de Windows utilizada hay que realizar diferentes pasos.

WINDOWS 7

- Ir a Inicio > Control Panel >Windows Firewall.

- Pulsamos en Advanced settings y hacemos lo siguiente para las reglas de entrada (inbound rules) y de salida (outbound rules):

- Para permitir el tráfico WMI a través del firewall, seleccionar todos los checkboxes de “Windows Management Instrumentation”. Confirmamos los cambios saliendo de la ventana.

- Abrir una linea de comandos como administrador y crear otro grupo de reglas del firewall ejecutando:
netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

NOTA: El nombre del grupo depende del idioma y debe ser traducido para versiones de Windows que no estén en Inglés. De esta forma, este comando en una versión de Windows en Aleman debe ejecutarse sustituyendo el nombre del grupo por Windows-Verwaltungsinstrumentation (WMI).

- Reiniciar la máquina.

- Añadir al registro de Windows un elemento de tipo DWORD llamado LocalAccountTokenFilterPolicy con valor 1 en la ruta HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

WINDOWS XP/2003

- Abrir el registro de Windows y validar que en la ruta HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\ la variable ForceGuest tiene el valor 0.

- Reiniciar la máquina.

WINDOWS VISTA/2008 (R2)

- Ir a Inicio > Control Panel >Windows Firewall.

- Pulsar en "Change Settings” y seleccionar la solapa “Exceptions”.

- Para permitir el tráfico WMI a través del firewall, seleccionar todos los checkboxes de “Windows Management Instrumentation (WMI)”. Confirmamos los cambios saliendo de la ventana.

- Reiniciar la máquina.

CONFIGURACIÓN EN CNM

- Hay que dar de alta los dispositivos Windows que se quieran monitorizar

- Ir a Configuración > solapa de Credenciales.

- Crear una credencial de tipo WMI con el usuario y contraseña utilizados en los equipos Windows.

- Ir al detalle del dispositivo y asociarle la credencial WMI que acabamos de crear. Aquí podemos dar al icono que aparece al lado del nombre de la credencial para validar el funcionamiento de WMI con el usuario y contraseña utilizados.

- En la parte de gestión de ficheros de log en la solapa de detalle del dispositivo daremos a nuevo, seleccionaremos la credencial WMI que hemos asociado anteriormente, seleccionaremos syslog en el formato del log y en la parte de fichero aparecerá un combo con los los diferentes tipos de log que reporta dicha máquina. Tras seleccionar el tipo de log pulsamos en guardar y modificamos el dispositivo.

- Después de unos minutos, en la rama principal Logs, aparecerá un elemento que representa el log que se ha definido en el punto anterior. A partir de aquí podremos ver el contenido del log y crear alertas remotas en base al contenido.