Splunk _通过WMI远程收集Windows主机日志

搜鞥都哦 · 发表于 2018-6-15 06:17:08

　　Splunk通过WMI收集Windows日志方法（非AD环境主机）
　　1.在Windows主机上创建用户，并把此用户加入本地管理员组中，例如：用户splunkag并且确保所有主机splunkag用户的密码相同。

　　2．更改splunkag用户的Dcom权限
　　1）运行dcomcnfg.exe命令

　　2）更改splunkag用户COM安全权限，点击“组件服务”->“计算机”->“我的电脑”->“右键属性”

　　

　　3）更改用户splunkag访问权限，COM安全->访问权限->编辑限制。

　　

　　4）在安全限制列表中，添加splunkag用户，并且保证splunkag用户有本地访问和远程访问权限。

　　5）更改splunkag用户COM安全的启动和激活权限

　　6）在“启动和激活权限”列表中添加splunkag用户，确保此用户有本地启动，远程启动和远程激活权限。

　　

　　3．Splunkag用户，WMI权限配置。

　　1）更改用户splunkag的WMI控件权限。“右键WMI控件”->“安全”->“root”->“安全设置”

　　

　　2）在安全设置root列表中，添加splunkag用户，确保此用户具有权限：
　　执行方法、启用账号、远程启用、读取。

　　

　　3）在安全设置root列表中，选择splunkag用户，点击“高级”->“splunkag”->“编辑”->“应用于”选择“这个命名空间和子命名空间”

　　注：若是Windows 7/2008系统，需要将“用户访问控制”的级别调整到最低。

账号		自动登录	找回密码
密码			立即注册

大疆运维招人啦，