Windows Event Collector, configurando Windows para reenviar y centralizar eventos

WEC (Windows Event Collector) es una función de Windows que permite reenviar los registros del visor de eventos para tenerlos centralizados en un servidor recolector. La función incluida desde Windows Vista en adelante utiliza el estándar basado en el protocolo WS-Management, WinRM.

Qué es WinRM

WinRM (Windows Remote Management) es un nuevo estándar de Microsoft para la administración remota de hardware y software en máquinas Windows. WinRM utiliza WMI (Windows Management Instrumentation) como repositorio de información y está basado en el protocolo WS-Management.

El protocolo WS-Management

Web Services for Management (WS-Management) es un protocolo que fue desarrollo por un grupo de fabricantes de hardware y software como un estándar abierto para el intercambio de información con cualquier otra máquina que implemente el protocolo.

Configurando Windows Event Collector

Para poder utilizar la función Windows Event Collector deberemos activar el componente WinRM en las máquinas fuente y el servicio WEC en la máquina recolectora.

El componente WinRM lo podemos activar desde una consola con permisos de administrador con el comando:

  
winrm quickconfig  

El servicio WEC tambien se puede activar desde una consola con permisos de administrador:

  
wecutil qc  

Con los servicios arrancados podemos configurar el servidor recolector de eventos.

Windows incorpora en el visor de eventos la posibilidad de suscribirse a los eventos de otros equipos. Así pues vamos a configurar una nueva suscripción al equipo W7LABS-PC sobre el cual estamos haciendo las pruebas. Para ello accedemos a la administración de equipos y en el visor de eventos haremos clic derecho sobre suscripciones para crear una suscripción.

En la ventana de propiedades que nos aparece a continuación se puede configurar el nombre de la suscripción, una descripción, el destino de los logs (en este caso Forwarded Events) así como se puede configurar los equipos fuentes de los que queremos recopilar eventos e incluso filtrar los eventos que nos interesen.

Si entramos en la Selección de eventos podemos configurar el filtrado por nivel, log, fuente, categorias y palabras claves del evento.

En las opciones avanzadas se puede indicar que usuario va a ser el que tiene permiso de lectura en los equipos fuentes e incluso podemos optimizar la recolección de eventos disminuyendo el ancho de banda o la latencia además de configurar el envío por HTTP o HTTPS.

Una vez finalizada la configuración de la suscripción, veremos que en el registro de logs de Windows de la máquina recolectora, aparece una nueva categoría que será aquella que hayamos seleccionado en la opción de configuración Destino de log. En este caso Forwarded Events.

Con esta simple configuración se pueden tener centralizados todos los eventos de las máquinas Windows de la red para así administrarlos y gestionarlos desde un solo equipo.