Damit Sicherheitseinträge in der Ereignisanzeige eines Domänen Controllers an einen anderen Server (Collector) wietergeleitet werden können, sind am Domänen Controller einige Einstellungen notwendig:
- Aktivieren der Überwachungsprotokollierung am DC
- Computer, der als "Collector" fungiert zur Gruppe der "Ereignisprotokollleser" am DC hinzufügen (Im Beispiel FS01)
Powershell:
Add-ADGroupMember –identity ‘Ereignisprotokollleser’ –member FS01$ - GPO "Default Domain Controllers Policy" bearbeiten um dem "Netzwerkdienst" die nötigen Rechte zum Lesen der Ereignisprotokolle zu geben.
Wert: O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)
alternativ über:
wevtutil set-log security /ca:’O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;S-1-5-20)’
Nach Abschluss der Arbeiten wird nun der "Collector-Server" eingerichtet.