Security Event per WMI (MEF) verschicken

[justgotpwnd 0]

Hallo,

 

wir haben bei uns ein SIEM im Einsatz.

Auf unseren Windows Servern habe ich teilweise einen Collector installiert, der die Windows Application, System und Security Events per MEF über das Netzwerk an einen Receiver verschicken soll.

 

Mit dem Administrator built-in Account lief das problemlos.

Mit einem lokal Administrator Account funktioniert das allerdings nicht so wie es soll.

 

Die Application und System Logs zu verschicken stellen kein Problem dar.

Nehme ich die Security Logs hinzu stößt der Collector immer auf die Fehlermeldung, dass er das Security Log nicht lesen kann. Lokal per Event Reader und dem selbigen lokalen Admin-Account kann ich auf die Security Logs zugreifen.

 

Das Problem tritt auch nur bei den Windows Servern auf die nicht in der Domäne sind, da aber auch nicht bei jedem. Das heißt es müsste eigentlich an der lokal Registry liegen...

 

Hat jemand eine Idee welche Registry Keys vorausgesetzt sein müssen, damit man Security Events über das Netzwerk verschicken kann?

 

Ich weiß nicht wirklich wo ich anfangen soll zu suchen..

Die User Access Control ist es nicht. Die Berechtigungen bei den Event Logs im in der Registry sind auch identisch zu den Servern bei denen es funktioniert.

 

Wäre für jede Hilfe dankbar!

 

 

Viele Grüße

[justgotpwnd 0]

Kennt sich niemand genauer mit den Berechtigungen auf Windows Servern aus?

[NilsK 2.940]

Moin,

 

reicht es evtl. aus, das Dienstkonto in die lokale Gruppe "Ereignisprotokollleser" aufzunehmen?

 

Gruß, Nils

[justgotpwnd 0]

Hat tatsächlich funktioniert.

Und das obwohl der built-in Administrator Account auch nicht in der Gruppe war und es somit noch eine andere Schnittstelle geben müsste, die ihn dazu berechtigt hat.

 

Danke für den Tipp! :-)

[NilsK 2.940]

Moin,

 

gern, danke für die Rückmeldung!

 

Gruß, Nils