Collecter les données Microsoft Windows AD

Ce document contient les informations suivantes:

• Architecture de déploiement et étapes d'installation, et toute configuration requise qui génère des journaux compatibles avec l'analyseur Chronicle pour les événements Microsoft Windows Active Directory. Pour en savoir plus sur l'ingestion de données Chronicle, consultez Ingestion de données dans Chronicle.
• Informations sur la manière dont l'analyseur mappe les champs du journal d'origine avec les champs du modèle de données unifié Chronicle.

Les informations de ce document s'appliquent à l'analyseur doté du libellé d'ingestion WINDOWS_AD. L'étiquette d'ingestion identifie l'analyseur qui normalise les données de journaux brutes au format UDM structuré.

Avant de commencer

Examiner l'architecture de déploiement recommandée

Ce schéma illustre les composants de base recommandés dans une architecture de déploiement pour collecter et envoyer des événements Microsoft Windows à Chronicle. Comparez ces informations à celles de votre environnement pour vous assurer que ces composants sont installés. Chaque déploiement client diffère de cette représentation et peut être plus complexe. Les éléments suivants sont obligatoires:

• Tous les systèmes de l'architecture de déploiement sont configurés dans le fuseau horaire UTC.
• Le script PowerShell est créé et configuré sur chaque serveur Microsoft Windows AD pour collecter les données USER_CONTEXT et ASSET_CONTEXT.
• NXLog est installé sur chaque serveur Microsoft Windows AD pour envoyer des données au serveur central Microsoft Windows ou Linux.

• Le redirecteur Chronicle est installé sur le serveur central Microsoft Windows ou Linux pour transférer les données des journaux vers Chronicle.

  

Examiner les appareils et les versions compatibles

L'analyseur Chronicle est compatible avec les journaux des versions suivantes du serveur Microsoft Windows. Microsoft Windows Server est publié avec les éditions suivantes: Foundation, Essentials, Standard et Datacenter. Le schéma d'événement des journaux générés par chaque édition ne diffère pas.

• Microsoft Windows Server 2019
• Microsoft Windows Server 2016
• Microsoft Windows Server 2012

L'analyseur Chronicle est compatible avec les journaux collectés par la communauté NXLog ou Enterprise Edition.

Examiner les types de journaux compatibles

L'analyseur Chronicle analyse et normalise les données extraites du contexte utilisateur et du contexte de l'élément. Elle est compatible avec les journaux générés en anglais et n'est pas compatible avec les journaux générés dans des langues autres que l'anglais.

Configurer les serveurs Microsoft Windows AD

Procédure de configuration des serveurs Microsoft Windows AD dans l'architecture de déploiement:

1. Configurez tous les systèmes avec le fuseau horaire UTC.
2. Sur chaque serveur Microsoft Windows Active Directory, créez et configurez un script PowerShell pour collecter les données des journaux dans un fichier de sortie. NXLog lit le fichier de sortie et envoie les données au serveur central Microsoft Windows ou Linux.

3. Créez le script Powershell. Consultez l'exemple ci-dessous. Remplacez la valeur de $OUTPUT_FILENAME par l'emplacement où le fichier de sortie doit être écrit. Ce fichier sera lu par NXLog. Les données doivent être stockées au format JSON. Définissez l'encodage sur utf8. Utilisez le paramètre -Filter plutôt que -LDAPFilter lorsque vous appelez les cmdlets Get-ADUser et Get-ADComputer.

   # Set the location where the log file will be written
   $OUTPUT_FILENAME="<Path_of_the_output_file>"
   
   If (Test-Path -Path $OUTPUT_FILENAME) { Remove-Item -path $OUTPUT_FILENAME -ErrorAction SilentlyContinue}
   
   # USER_CONTEXT: Gets all Active Directory users and their properties.
   Get-ADUser -Filter * -properties samAccountName | % { Get-ADUser $_.SamAccountName -properties * | ConvertTo-JSON -compress | Out-File -encoding utf8 $OUTPUT_FILENAME -Append }
   
   # ASSET_CONTEXT: Gets all Active Directory assets and their properties.
   Get-ADComputer -Filter * -properties samAccountName | % { Get-ADComputer $_.SamAccountName -properties * | ConvertTo-JSON -compress | Out-File -encoding utf8 $OUTPUT_FILENAME -Append }
   

4. Créez une tâche récurrente qui exécute le script pour récupérer et écrire des données dans le fichier de sortie.

   1. Ouvrez l'application Planificateur de tâches.
   2. Cliquez sur "Créer une tâche" dans le panneau de droite.
   3. Saisissez le nom et la description de la tâche.

   4. Cochez la case "Exécuter avec les droits les plus élevés" pour vous assurer que toutes les données sont récupérées.

      

   5. Dans l'onglet "Déclencheurs", indiquez à quel moment vous souhaitez répéter la tâche.

   6. Dans l'onglet "Action", ajoutez une action et indiquez le chemin d'accès au fichier dans lequel le script est stocké.

      

5. Installez l'agent NXLog sur chaque serveur Microsoft Windows Active Directory. Cette application transfère les journaux au serveur central Microsoft Windows ou Linux. Suivez la documentation NXLog.

6. Créez un fichier de configuration pour chaque instance NXLog. Utilisez le module im_file de NXLog pour lire le fichier et analyser les lignes en champs. Utilisez le module om_tcp pour transférer des données vers le serveur central Microsoft Windows ou Linux.

   Voici un exemple de configuration NXLog. Remplacez les valeurs <hostname> et <port> par des informations sur le serveur Microsoft Windows ou Linux central de destination. Dans la section <Input in_adcontext> et la propriété File, ajoutez le chemin du fichier journal de sortie écrit par le script Powershell. Définissez toujours DirCheckInterval et PollInterval. Si elles ne sont pas définies, NXLog interroge les fichiers toutes les 1 seconde.

   define ROOT C:\Program Files\nxlog
   define ADCONTEXT_OUTPUT_DESTINATION_ADDRESS <hostname>
   define ADCONTEXT_OUTPUT_DESTINATION_PORT <port>
   
   Moduledir   %ROOT%\modules
   CacheDir    %ROOT%\data
   Pidfile     %ROOT%\data\nxlog.pid
   SpoolDir    %ROOT%\data
   LogFile     %ROOT%\data\nxlog.log
   
   <Input in_adcontext>
       Module im_file
       File "<Path_of_the_output_file>"
       DirCheckInterval 3600
       PollInterval 3600
   </Input>
   
   <Output out_chronicle_adcontext>
       Module  om_tcp
       Host    %ADCONTEXT_OUTPUT_DESTINATION_ADDRESS%
       Port    %ADCONTEXT_OUTPUT_DESTINATION_PORT%
   </Output>
   
   <Route ad_context_to_chronicle>
       Path in_adcontext => out_chronicle_adcontext
   </Route>
   

7. Démarrez le service NXLog dans chaque système.

Configurer le serveur central Microsoft Windows ou Linux

Consultez la section Installer et configurer le redirecteur sous Linux ou Installer et configurer le redirecteur sous Microsoft Windows pour en savoir plus sur l'installation et la configuration du redirecteur.

1. Configurez le système avec le fuseau horaire UTC.
2. Installez le redirecteur Chronicle sur le serveur central Microsoft Windows ou Linux.

3. Configurez le redirecteur Chronicle pour envoyer des journaux à Chronicle. Voici un exemple de configuration du système de transfert.

     - syslog:
         common:
           enabled: true
           data_type: WINDOWS_AD
           batch_n_seconds: 10
           batch_n_bytes: 1048576
         tcp_address: 0.0.0.0:10518
         connection_timeout_sec: 60
   

Documentation de référence sur le mappage de champs: champs de journal de l'appareil avec champs UDM

Cette section explique comment l'analyseur mappe les champs de journal d'origine aux champs du modèle de données unifié.

Journaux de contexte utilisateur

Journaux de contexte d'élément