Microsoft Windows 事件来源配置 - Amazon CloudWatch
与 Windows 事件集成使用 Windows 事件进行身份验证配置 CloudWatch 管道支持的开放式网络安全架构框架事件类

Microsoft Windows 事件来源配置

与 Windows 事件集成

Microsoft Windows 事件日志提供了一个全面的日志记录系统,用于记录 Windows 操作系统中的系统、安全和应用程序事件。CloudWatch 管道使用 Log Analytics API 从 Windows 服务器和工作站检索有关系统操作、安全事件、用户活动和应用程序行为的信息。Log Analytics API 支持通过 KQL(Kusto 查询语言)查询访问事件数据,从而允许从 Log Analytics 工作区检索 Windows 事件日志。

使用 Windows 事件进行身份验证

要读取 Windows 事件审计日志,管道需要使用您的账户进行身份验证。该插件支持 OAuth2 身份验证机制。按照以下说明开始使用 Microsoft Windows 事件:Log Analytics API。

  • 在 Azure 中注册应用程序,支持的账户类型选择仅限此组织目录中的账户(单租户)。注册完成后,记录下应用程序(客户端)ID 和目录(租户)ID。

  • 为您的应用程序生成新的客户端密钥。在将授权代码交换为访问令牌时使用该客户端密钥。立即复制密钥值,因为它不会再次显示。

  • 在 AWS Secrets Manager 中创建密钥,将应用程序(客户端)ID 存储在 client_id 键下,将客户端密钥存储在 client_secret 键下。

  • 指定您的应用程序访问 Log Analytics API 所需的 API 权限。您需要的权限是:Data.Read:执行 KQL 查询和读取 Log Analytics 工作区中的日志数据(包括 Windows 事件日志)所需的权限。

  • 创建和配置 Log Analytics 工作区:在 Azure 门户中创建工作区(Monitor → Log Analytics 工作区)。创建数据收集规则(DCR)以指定要收集的 Windows 事件日志(系统、应用程序、安全)。通过 DCR 将 Windows 服务器/虚拟机连接至工作区。记下工作区“概述”页面中的工作区 ID(API 查询必填项)

  • 向您的应用程序授予工作区访问权限:导航到“Log Analytics 工作区”→“访问控制(IAM)”。将 Log Analytics Reader 角色分配给注册的应用程序。此 RBAC 角色与 API 权限配合使用可提供安全访问权限:OAuth 确认 API 使用权限,而 IAM 确认工作区数据访问权限。

配置 CloudWatch 管道

将管道配置为读取日志时,请选择 Microsoft Windows 事件作为数据来源。使用目录(租户)ID 和工作区 ID(workspace_id)填写必填信息,例如租户 ID。创建管道后,数据将在选定的 CloudWatch Logs 日志组中可用。

支持的开放式网络安全架构框架事件类

此集成支持 OCSF 架构版本 1.5.0 以及映射到“账户变更”(3001)、“身份验证”(3002)、“实体管理”(3004)、“事件日志活动”(1008)、“文件系统活动”(1001)、“组管理”(3006)以及“内核活动”(1003)的 Windows 审计事件。

账户变更包含以下事件:

  • 4740

身份验证包含以下事件:

  • 4624

  • 4625

  • 4634

  • 4647

  • 4648

  • 4649

  • 4672

实体管理包含以下事件:

  • 4616

  • 4907

  • 4719

  • 4902

事件日志活动包含以下事件:

  • 1100

  • 1102

  • 1104

  • 1105

文件系统活动包含以下事件:

  • 4608

  • 4660

  • 4688

  • 4696

  • 4826

  • 5024

  • 5033

  • 5058

  • 5059

  • 5061

  • 5382

  • 5379

组管理包含以下事件:

  • 4732

  • 4798

  • 4799

  • 4733

  • 4731

  • 4734

  • 4735

内核活动包含以下事件:

  • 4674