Windows Log Agent konfigurieren

Gilt für: ThreatSync+ NDR

Windows Log Agent ist ein Kollektor-Agent, der Windows DHCP-Serverprotokolle liest und sie dann an ThreatSync+ NDR-Kollektor-Agent weiterleitet. ThreatSync+ NDR-Kollektor-Agent leitet die DHCP-Protokolle seinerseits an WatchGuard Cloud weiter.

Um die Übersicht über Geräte zu behalten, wenn diese ihre IP-Adresse ändern, empfehlen wir Ihnen, Windows Log Agent zu verwenden, um Active Directory DHCP-Protokolle zu sammeln. Fügen Sie Windows Log Agent auf allen DHCP-Servern hinzu und konfigurieren Sie ihn.

Systemanforderungen für Windows Log Agent

Sie können Windows Log Agent mit den folgenden Betriebssystemen installieren:

  • Windows Server 2019
  • Windows Server 2022

Einige dieser Server könnten auch Domänen-Controller sein.

Das Windows-Installationsprogramm ist mit Computern mit einem x86 oder ARM Prozessor kompatibel.

Weitere Informationen über unterstützte Betriebssysteme und Virtualisierungsumgebungen finden Sie im Abschnitt Fehlersuche in Windows Log Agent dieses Dokuments oder unter Betriebssystem-Kompatibilität für ThreatSync+ NDR-Komponenten in den ThreatSync+ NDR-Versionshinweisen.

Über Windows Log Agent für ThreatSync+ NDR

Um Active Directory DHCP-Protokolle zu sammeln, müssen Sie beide Typen von Kollektor-Agenten zu Ihrem Netzwerk hinzufügen und konfigurieren — zunächst ThreatSync+ NDR-Kollektor-Agent (ob Windows oder Linux), danach Windows Log Agent.

Screen shot of Configure > ThreatSync, Windows Log Agents page

Sie konfigurieren Windows Log Agent auf der Seite Kollektoren.

Die Registerkarte Windows Log Agent zeigt folgende Spalten:

  • Name — Name des Kollektor-Agent.
  • IP-Adresse — IP-Adresse des Computers, auf dem der Kollektor installiert ist.
  • Kollektor-IP-Adresse — IP-Adresse des Kollektors.
  • Zuletzt aktualisiert — Datum und Uhrzeit der letzten Datenaktualisierung.
  • DHCP-Überwachung — Zeigt den Status der DHCP-Überwachung. Beispielsweise Wird ausgeführt oder Gestoppt.
  • NXLog-Überwachung — Zeigt den Status der NXLog-Überwachung. Beispielsweise Wird ausgeführt oder Gestoppt.
  • Domäne — Die Domäne von Windows Log Agent.
  • Status — Zeigt den Status von Windows Log Agent. Klicken Sie auf den Status, um weitere Informationen aufzurufen. Dies kann Folgendes beinhalten:
    • Erfolg — Der Kollektor ist installiert und empfängt Netzwerkdaten.
    • Keine Informationen — Der Status des Kollektors konnte nicht gemeldet werden.
    • Offline — Der Kollektor ist offline.
    • Fehler — Beim Kollektor ist ein Fehler aufgetreten. Weitere Informationen finden Sie unter Fehlersuche in Windows Log Agent.

Bevor Sie beginnen

Sie müssen WatchGuard Agent und ThreatSync+ NDR-Kollektor-Agent installieren, bevor Sie Windows Log Agent installieren. Achten Sie darauf, die Systemanforderungen für ThreatSync+ NDR-Kollektor-Agent in Ihrer Umgebung zu überprüfen.

Um WatchGuard Agent und ThreatSync+ NDR-Kollektor-Agent für Windows zu installieren und zu konfigurieren, gehen Sie zu ThreatSync+ NDR-Kollektoren konfigurieren (Windows-Computer).

Um WatchGuard Agent und ThreatSync+ NDR-Kollektor-Agent für Linux zu installieren und zu konfigurieren, gehen Sie zu ThreatSync+ NDR-Kollektoren konfigurieren (Linux-Computer).

Windows Log Agent-Kollektor hinzufügen

Fügen Sie Windows Log Agent auf allen DHCP-Servern in Ihrem Netzwerk hinzu und konfigurieren Sie ihn.

Nachdem Sie einen Server als Windows Log Agent-Kollektor hinzugefügt haben, achten Sie darauf, Ihre verwalteten Switches so zu konfigurieren, dass sie NetFlow-Daten an den Kollektor senden. Weitere Informationen finden Sie in der mit dem Switch verfügbaren Produktdokumentation.

So fügen Sie Windows Log Agent hinzu:

  1. Melden Sie sich bei Ihrem WatchGuard Cloud-Konto an.
  2. Für Service-Provider-Konten wählen Sie im Kontomanager die Option Mein Konto.
  3. Wählen Sie Konfigurieren > ThreatSync+ Integrationen > Kollektoren.
  4. Klicken Sie auf der Registerkarte Windows Log Agent auf Kollektor hinzufügen.
    Die Seite Windows Log Agent hinzufügen wird geöffnet.

Screenshot of the Add Windows Log Agent page in ThreatSync+ NDR

  1. Wählen Sie aus der Dropdown-Liste Host den Computer aus, den Sie als Windows Log Agent verwenden möchten.
    Diese Liste beinhaltet alle Server, auf denen WatchGuard Agent installiert ist. Um die Liste der verfügbaren Computer und Server neu zu laden, klicken Sie auf
  2. Geben Sie im Textfeld IP-Adresse ThreatSync+ NDR-Kollektor-Agent die IP-Adresse des Computers ein, für den Sie ThreatSync+ NDR-Kollektor-Agent konfiguriert haben.
    Sie können die IP-Adresse auf der Registerkarte ThreatSync+ NDR-Kollektor-Agenten aufrufen.
  3. Klicken Sie auf Speichern.
    Log Agent beginnt, Daten an ThreatSync+ NDR zu melden. Sie können die gemeldeten Datenverkehrsinformationen auf der Seite Netzwerkzusammenfassung einsehen. Weitere Informationen finden Sie unter Über die ThreatSync+ Zusammenfassungsseite.
  4. (Optional) Um einen neuen ThreatSync+ NDR-Kollektor-Agent hinzuzufügen, klicken Sie auf ThreatSync+ NDR-Kollektor-Agent hinzufügen. Weitere Informationen finden Sie unter ThreatSync+ NDR-Kollektor-Agent für Windows hinzufügen oder ThreatSync+ NDR-Kollektor-Agent für Linux hinzufügen.

Starten Sie den Computer neu, falls auf dem Computer, auf dem die Agents installiert sind, ein Stromausfall auftritt oder falls der Computer nach der Installation von Updates ein Reboot durchführt.

Windows Log Agent-Kollektoren bearbeiten

Sie können einen bestehenden Windows Log Agent für die Verwendung mit einem zuvor installierten ThreatSync+ NDR-Kollektor-Agent konfigurieren.

So konfigurieren Sie einen bestehenden Windows Log Agent:

  1. Melden Sie sich bei Ihrem WatchGuard Cloud-Konto an.
  2. Für Service-Provider-Konten wählen Sie im Kontomanager die Option Mein Konto.
  3. Wählen Sie Konfigurieren > ThreatSync+ Integrationen > Kollektoren.
  4. Klicken Sie auf der Registerkarte Windows Log Agents neben dem zu bearbeitenden Windows Log Agent auf Symbol Optionen. Klicken Sie auf Bearbeiten.
    Die Seite Windows Log Agent bearbeiten wird geöffnet.

Screenshot of the Edit Windows Log Agent page

  1. Geben Sie im Abschnitt ThreatSync+ NDR-Kollektor-Agent die IP-Adresse eines ThreatSync+ NDR-Kollektor-Agent ein.
  2. Klicken Sie auf Speichern.
  3. (Optional) Um einen neuen ThreatSync+ NDR-Kollektor-Agent hinzuzufügen, klicken Sie auf ThreatSync+ NDR-Kollektor-Agent hinzufügen.

Windows Log Agent-Kollektoren löschen

Soll ein spezifischer Windows Log Agent-Kollektor nicht mehr länger verwendet werden, können Sie ihn aus der ThreatSync+ Integrationen-Benutzeroberfläche löschen. Wird Log Agent aus der Benutzeroberfläche gelöscht, wird Log Agent automatisch von WatchGuard Agent deinstalliert.

So löschen Sie einen Windows Log Agent:

  1. Melden Sie sich bei Ihrem WatchGuard Cloud-Konto an.
  2. Für Service-Provider-Konten wählen Sie im Kontomanager die Option Mein Konto.
  3. Wählen Sie Konfigurieren > ThreatSync+ Integrationen > Kollektoren.
  4. Wählen Sie auf der Registerkarte Windows Log Agents einen oder mehrere Kollektoren, die Sie löschen möchten.

Screenshot of the Collectors page, ThreatSync+ NDR Collections Agents tab that shows the Delete option when you select a collector to be deleted

  1. Klicken Sie auf Löschen.

Wenn Sie WatchGuard Agent zusammen mit den Kollektoren löschen möchten, gehen Sie zu ThreatSync+ NDR-Kollektor-Agent für Windows löschen oder ThreatSync+ NDR-Kollektor-Agent für Linux löschen.

Fehlersuche in Windows Log Agent

Wenn Sie auf der Seite Netzwerkzusammenfassung innerhalb von 60 bis 90 Minuten keine gemeldeten Datenverkehrsinformationen sehen, können Sie die Informationen in diesem Abschnitt für die Fehlersuche verwenden.

So suchen und beheben Sie Fehler in Windows Log Agent:

  • Überprüfen Sie in der Systemsteuerung in Windows, dass Windows Log Agent installiert ist.

  • Stellen Sie sicher, dass der Windows-Computer die Anforderungen erfüllt, wie in Abschnitt Systemanforderungen für Windows Log Agent . Sie können Windows Log Agent auf Windows-Geräten installieren, auf denen Windows Server 2019 oder Windows Server 2022 installiert ist.
  • Stellen Sie sicher, dass der Server ThreatSync+ NDR-Kollektor-Agent über Port 514 erreichen kann. Stellen Sie sicher, dass keine Firewall-Richtlinien Datenverkehr von Port 514 blockieren.
  • Stellen Sie sicher, dass Virtualisierung im BIOS aktiviert ist. Diese Virtualisierungsumgebungen sind verifiziert:
Windows Log Agent-Virtualisierungsumgebung Microsoft Windows Server 2019 Microsoft Windows Server 2022
VMware ESXi 6.7 Häkchen-Symbol Häkchen-Symbol
VMware ESXi 7.0.3 Häkchen-Symbol
VMware ESXi 8.0 Häkchen-Symbol Häkchen-Symbol
  • Stellen Sie sicher, dass der NXLog-Dienst ausgeführt wird (nxlog.exe). Überprüfen Sie die NXLog-Dateien auf Fehler (c:\Program Files\nxlog):
    • Überprüfen Sie die *.conf, *.pm, *.log-Dateien und wiederkehrende Ordner.
    • Überprüfen Sie %windir%\temp\WatchGuard_Log_Collection_Agent_**************.log
    • Überprüfen Sie %windir%\temp\WatchGuard_Log_Collection_Agent_**************_000_NXLog.log
    • Überprüfen Sie %windir%\temp\WatchGuard_Log_Collection_Agent\WatchGuard_Log_Collection_Agent**************_001_NXLogconf.log
  • Stellen Sie sicher, dass keine vorherige Installation von NXLog von einem anderen Software-Anbieter vorliegt.
  • Überprüfen Sie auf der Seite Konfigurieren > ThreatSync+ Integrationen > Kollektoren in WatchGuard Cloud die folgenden Spalten in der Tabelle Windows Log Agents:
    • DHCP-Überwachung — Zeigt den Status der DHCP-Überwachung. Beispielsweise Wird ausgeführt oder Gestoppt.
    • NXLog-Überwachung — Zeigt den Status der NXLog-Überwachung. Beispielsweise Wird ausgeführt oder Gestoppt.
    • Status — Zeigt den Status der Windows Log Agents. Klicken Sie für weitere Informationen auf den Status. Beispielsweise Fehler oder Erfolg.
  • Sie können für die weitergehende Fehlersuche die WatchGuard Agent-Protokolle auf /usr/local/management-agent/log aufrufen.

Ähnliche Themen

Über ThreatSync+ NDR-Kollektoren

ThreatSync+ NDR-Kollektoren konfigurieren (Windows-Computer)

ThreatSync+ NDR-Kollektoren konfigurieren (Linux-Computer)

Schnellstart — ThreatSync+ NDR einrichten