Централизованный аудит печати — Сбор событий аудита


Цикл статей:

1.       Описание задачи и решения

2.       Сбор событий аудита

3.       Экспорт событий аудита в файл

4.       Загрузка в базу данных

5.       Создание отчёта

6.       Размещение отчёта на Sharepoint

7.       Дополнение 1: Powershell – системные журналы и особенности фильтров по времени

8.       Дополнение 2: Powershell – производительность работы с системными журналами

 

Сбор событий аудита

 

Описание Event Subscription:

Quick and Dirty Large Scale Eventing for Windows

Configure Computers to Forward and Collect Events

1.       Включаем журнал аудита печати (выключен по умолчанию) на всех компьютерах, в т.ч. на сборщике событий

wevtutil sl Microsoft-Windows-PrintService/Operational /e:true

Варианты: вручную локально, вручную удаленно (команда поддерживает это), логон скриптом, с помощью SCCM.

К сожалению это не сделать с помощью GPO, соответствующей ветки реестра тоже нет.

У меня сделано через SCCM 2012 R2 Compliance скриптом:

Set oShell = WScript.CreateObject («WScript.Shell»)

oShell.run «cmd.exe /c wevtutil sl Microsoft-Windows-PrintService/Operational /e:true»

Set oShell = Nothing

WScript.Echo «Ok»

 

Для справки: Описание Wevtutil

 

2.       Настраиваем сервер сборщик событий аудита печати

a.       Запустить Event Viewer

                                                               i.      Перейти к журналу на закладку Subscriptions

                                                             ii.      Подтвердить запуск сервиса Windows Event Collector

                                                            iii.      Либо просто wecutil qc /q

                                                           iv.      Описание Wecutil.exe

b.      Перейти к журналу Microsoft-Windows-PrintService/Operational

c.       Открыть свойства журнала

d.      Включить журнал, размер 100 Мб, переписывать при необходимости

clip_image001[4]

e.      Перейти на закладку Subcriptions

f.        Создать новую подписку, например, Full Domain Printer Audit

g.       Выбрать Source computer initiated

h.      Выбрать группу, например, Domain Computers

i.         Установить фильтр событий: сервис PrintService, журнал Operational, номер события 307, уровень событий «Информационные» (на скриншоте выбраны все, но это задел на будущее для другого анализа)

clip_image002[4]

Описание событий:

Event ID 307 — Print Job Status для Windows 7 (Windows Server 2008 R2) и выше

Event ID 10 — Print Job Status для Windows Vista (Windows Server 2008)

3.       Настраиваем WinRM через GPO, если у вас это ещё не сделано

4.       Настраиваем форвардинг событий на клиентах через GPO

clip_image004[4]

clip_image006[4]

5.       В Show добавляем имя сервера-сборщика событий в формате server=servername.domain.ru

6.       В этой же политике включаем сервис Windows Event Collector

clip_image008[4]

7.       В этой же политике через GPP переключаем этот сервис в Delayed Start: изменяем ключ реестра DelayedAutostart = 1  в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wecsvc

8.       (Либо тоже самое можно сделать скриптом запустив wecutil qc /q)

 

На этом настройка сбора событий аудита печати завершена.

Никакой явной диагностики не существует. Что можно проверить, если события не прилетают:

1.       Политика настроена правильно и применилась на клиенте (gpresult /r)

2.       Сервис Windows Event Collector запущен и настроен (wecutil qc /q)

3.       WinRM работает (winrs –r:”имя.рабочей.станции”)

Продолжение следует…

Реклама

комментария 3

  1. […] Централизованный аудит печати — Сбор событий ауд… […]

  2. […] Централизованный аудит печати — Сбор событий ауд… […]

  3. […] Централизованный аудит печати — Сбор событий ауд… […]

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: