我在将 arcsight WUC smartconnector 连接到 Windows Server 2012 时遇到问题。我已完成以下步骤,但仍无法将日志发送到 SIEM。
ArcSight SIEM 版本:7.2 ArcSight SmartConnector:7.15 和 7.10(已尝试两种智能连接器但仍无法使用) Windows Server 2012
执行的步骤:
- 在 Windows Server 2012 上启用 SMBv2:在 Powershell -> Set-SmbServerConfiguration -EnableSMB1Protocol $true 检查是否启用了 smbv1 -> Get-SmbServerConfiguration | 选择 EnableSMB1Protocol
- 使用端口 5986 启用 WinRM HTTPS
- 启动“Windows 远程管理”服务
- 将 WinRM 添加到防火墙规则
- 添加到“事件日志阅读器”组并添加到“远程管理用户”组
- 完全控制“远程管理用户”组
- 检查帐户是否被锁定或用户名或密码错误(但都没有)
- 使用 Windows 事件日志和 Windows 事件日志统一尝试了上述所有步骤。
每次我重新启动服务器时,只有日志会开始发回。我做的任何步骤,我只得到 1 个错误。当前还启用了错误 SMBv1 的屏幕截图。我可以同时启用两者还是只启用其中一个?请就此提出建议。我尝试了 2 种不同的智能连接器(7.10 和 7.15),并且我还尝试了 Windows 事件日志和 Windows 事件日志统一。
