Сбор логов с Windows по WMI. Спасительное зло.

В жизни каждого наступает тот самый момент, когда нет возможности собирать логи с Windows сервера, установив на него маленький и легковесный агент OSSEC, который не только собирает логи, но и выполняет контроль целостности, обнаружение вторжений и многое другое.

И в этот самый момент приходится обращаться к вселенскому злу — интерфейсу WMI, как инструменту для сбора журналов событий (логов). Да, это не лучшее решение, как заявляет сам вендор (Alienvault), и агент OSSEC потребляет меньше ресурсов, но иногда, как уже говорил, установить его не представляется возможным по причинам политического или параноидального характера.

И вот, смирившись с судьбой, Вы берете официальный гайд по настройке и решаете по-быстрому все запилить. Самый главный этап тут — это настройка прав для учетной записи пользователя, который будет использоваться для сбора журналов событий ИБ Вашим OSSIM или USM (подвинься, мажор). Так вот, открываете Вы гайд, да не тут-то было. Гайд-то, 2011 года да и для Windows 2003. Конечно, сейчас есть и места, где ХРюша вполне себе используется, но у Вас же новая инфраструктура — 2008R2, 2012, правда? И в этот самый момент Вы понимаете, что толку от гайда этого, как от козла сами знаете чего. Что? Почему не обновил гайд вендор? А шайтан его знает… Наверное, времени мало прошло с последнего релиза — всего-то 6 лет.

Ну конечно, Вы всегда можете использовать учетную запись с правами администратора для сбора логов, но как Вы будете жить с этой мыслью?…

Но! Есть свет в конце тоннеля! На просторах Интернета есть прекрасный документ (боже, храни Juniper!), который в деталях, для полного нубья, описывает процесс настройки учетной записи пользователя для решения нашей задачи — сбора логов по сети по протоколу WMI. Аккуратно выполняем всю эту уличную магию, и, PROFIT !!!

Всем удачи и отличного настроения!