Bruzla
Captain
- Registriert
- Okt. 2013
- Beiträge
- 3.703
Servus zusammen,
ich würde gerne in unserem Netzwerk ein Logmanagement einführen. Wobei Log"management" wahrscheinlich schon zu viel gesagt ist, Log-Collection trifft es wohl am ehesten.
Ich hab bereits folgende Situation: Einen KIWI-Syslog-Server welcher aktuell testweise Logs sammelt von bestimmten Test-Clients.
Zum Weiterleiten nutze ich aktuell den Solarwinds-Logforwarder.
Ich hab die Test-Systeme auch mit Sysmon aufgebohrt damit mir mehr Möglichkeiten zur Verfügung stehen, wie z.B. DNS-Logs aufzuzeichnen.
Mein aktuelles Problem ist, dass ich die von Sysmon aufgezeichneten Logs zwar theoretisch weiterleiten kann, diese aber effektiv nicht einsehen kann, weil es anscheinend an Berechtigungen fehlt. Der Log-Forwarder kann die Logs nicht lesen, weil diese in der Ereignisanzeige besser abgesichert sind als Standard-Logs.
Zu dem Thema findet man im Internet sehr vieles aber irgendwie auch nichts.
Gibt es unter euch vielleicht jemanden, der das ganze selber schon eingerichtet hat? Wie könnte ich das Problem mit den Berechtigungen lösen? Gibt es vielleicht einen ganz anderen Weg wie ich die Log-Collection von allen Clients bewerkstelligen kann?
Ich bin dankbar für jeden Impuls den ich von euch bekomme.
Edit: Das hier ist die Meldung, welche KIWI mir bei den Sysmon-Logs ausgibt:
ich würde gerne in unserem Netzwerk ein Logmanagement einführen. Wobei Log"management" wahrscheinlich schon zu viel gesagt ist, Log-Collection trifft es wohl am ehesten.
Ich hab bereits folgende Situation: Einen KIWI-Syslog-Server welcher aktuell testweise Logs sammelt von bestimmten Test-Clients.
Zum Weiterleiten nutze ich aktuell den Solarwinds-Logforwarder.
Ich hab die Test-Systeme auch mit Sysmon aufgebohrt damit mir mehr Möglichkeiten zur Verfügung stehen, wie z.B. DNS-Logs aufzuzeichnen.
Mein aktuelles Problem ist, dass ich die von Sysmon aufgezeichneten Logs zwar theoretisch weiterleiten kann, diese aber effektiv nicht einsehen kann, weil es anscheinend an Berechtigungen fehlt. Der Log-Forwarder kann die Logs nicht lesen, weil diese in der Ereignisanzeige besser abgesichert sind als Standard-Logs.
Zu dem Thema findet man im Internet sehr vieles aber irgendwie auch nichts.
Gibt es unter euch vielleicht jemanden, der das ganze selber schon eingerichtet hat? Wie könnte ich das Problem mit den Berechtigungen lösen? Gibt es vielleicht einen ganz anderen Weg wie ich die Log-Collection von allen Clients bewerkstelligen kann?
Ich bin dankbar für jeden Impuls den ich von euch bekomme.
Edit: Das hier ist die Meldung, welche KIWI mir bei den Sysmon-Logs ausgibt:
| 07 10:32:26 MSWinEventLog 6 Microsoft-Windows-Sysmon/Operational 550 Di Mai 07 10:32:22 2024 22 Microsoft-Windows-Sysmon S-1-5-18 N/A Information CLIENTXYZ.DOMAIN.LOCAL 22 The description for Event ID 22 from source Microsoft-Windows-Sysmon cannot be found. Either the component that raises this event is not installed on your local computer or the installation is corrupted. You can install or repair the component on the local computer.If the event originated on another computer, the display information had to be saved with the event.The following information was included with the event: -. FormatMessage failed with error -2147023081, Die angegebene Sprachenkennung f�r die Ressourcen wurde nicht in der Image-Datei gefunden. |
Zuletzt bearbeitet:
