Configurer l'Agent de Journal Windows

S'applique À : ThreatSync+ NDR

L'Agent de Journal Windows est un agent de collecte qui lit les journaux du serveur DHCP Windows, puis les transmet à l'Agent de Collecte ThreatSync+ NDR. L'Agent de Collecte ThreatSync+ NDR transmet ensuite les journaux DHCP à WatchGuard Cloud.

Pour surveiller les périphériques lorsqu'ils changent d'adresse IP, nous vous recommandons d'utiliser l'Agent de Journal Windows pour collecter les journaux DHCP d'Active Directory. Ajoutez et configurez l'Agent de Journal Windows sur tous les serveurs DHCP.

Exigences de Système de l'Agent de Journal Windows

Vous pouvez installer l'Agent de Journal Windows sur les systèmes d'exploitation suivants :

Windows Server 2019
Windows Server 2022

Certains de ces serveurs peuvent également être des contrôleurs de domaine.

Windows Installer est compatible avec les ordinateurs équipés d'un processeur x86 ou ARM.

Pour de plus amples informations concernant les systèmes d'exploitation et les environnements de virtualisation pris en charge, accédez à la section Dépanner les Problèmes de l'Agent de Journal Windows de ce document ou la section Compatibilité des Systèmes d'Exploitation des Composants ThreatSync+ NDR des Notes de Publication de ThreatSync+ NDR.

À Propos de l'Agent de Journal Windows pour ThreatSync+ NDR

Pour collecter les journaux DHCP d'Active Directory, vous devez ajouter et configurer les deux types d'agents de collecte sur votre réseau — d'abord l'Agent de Collecte ThreatSync+ NDR (Windows ou Linux) puis l'Agent de Journal Windows.

Screen shot of Configure > ThreatSync, Windows Log Agents page

Vous configurez les Agents de Journal Windows sur la page Collecteurs.

L'onglet Agents de Journal Windows affiche ces colonnes :

Nom — Nom de l'agent de collecte.
Adresse IP — Adresse IP de l'ordinateur sur lequel le collecteur est installé.
Adresse IP du Collecteur — Adresse IP du collecteur.
Dernière Mise à Jour — La date et l'heure de la dernière mise à jour des données.
Surveillance DHCP — Affiche l'état de la surveillance DHCP. Par exemple, En Cours d'Exécution ou Arrêté.
Surveillance de NXLog — Affiche l'état de la surveillance de NXLog. Par exemple, En Cours d'Exécution ou Arrêté.
Domaine — Le domaine de l'agent de journal Windows.
État — Affiche l'état de l'agent de journal Windows. Cliquez sur l'état pour afficher plus d'informations. Les valeurs possibles sont les suivantes :
- Succès — Le collecteur est installé et reçoit les données réseau.
- Aucune Information — Impossible de signaler l'état du collecteur.
- Hors Ligne — Le collecteur est hors ligne.
- Erreur — Le collecteur a rencontré une erreur. Pour de plus amples informations, accédez à Dépanner les Problèmes de l'Agent de Journal Windows.

Avant de Commencer

Vous devez installer l'Agent WatchGuard et l'Agent de Collecte ThreatSync+ NDR avant d'installer l'Agent de Journal Windows. Assurez-vous d'examiner les exigences du système pour l'Agent de Collecte ThreatSync+ NDR pour votre environnement.

Pour installer et configurer l'Agent WatchGuard et l'Agent de Collecte ThreatSync+ NDR pour Windows, accédez à Configurer les Collecteurs pour ThreatSync+ NDR (Ordinateurs Windows).

Pour installer et configurer l'Agent WatchGuard et l'Agent de Collecte ThreatSync+ NDR pour Linux, accédez à Configurer les Collecteurs pour ThreatSync+ NDR (Ordinateurs Linux).

Ajouter un Collecteur d'Agent de Journal Windows

Ajoutez et configurez l'Agent de Journal Windows sur tous les serveurs DHCP de votre réseau.

Après avoir ajouté un serveur en tant que collecteur d'Agent de Journal Windows, assurez-vous de configurer vos commutateurs gérés pour envoyer les données NetFlow au collecteur. Pour plus d'informations, consultez la documentation du produit disponible avec le commutateur.

Pour ajouter un Agent de Journal Windows :

Connectez-vous à votre compte WatchGuard Cloud.
Pour les comptes Service Provider, dans le Gestionnaire de Comptes, sélectionnez Mon Compte.
Sélectionnez Configurer > Intégrations ThreatSync+ > Collecteurs.
Dans l'onglet Agent de Journal Windows, cliquez sur Ajouter un Collecteur.
La page Ajouter un Agent de Journal Windows s'ouvre.

Screenshot of the Add Windows Log Agent page in ThreatSync+ NDR

Dans la liste déroulante Hôte, sélectionnez l'ordinateur que vous souhaitez utiliser comme Agent de Journal Windows.
Cette liste inclut tous les serveurs sur lesquels l'Agent WatchGuard est installé. Pour actualiser la liste des ordinateurs et serveurs disponibles, cliquez sur
Dans la zone de texte Adresse IP de l'Agent de Collecte ThreatSync+ NDR, saisissez l'adresse IP de l'ordinateur pour lequel vous avez configuré l'Agent de Collecte ThreatSync+ NDR.
Vous pouvez afficher l'adresse IP dans l'onglet Agents de Collecte ThreatSync+ NDR.
Cliquez sur Enregistrer.
L'agent de journal commence à signaler les données à ThreatSync+ NDR. Vous pouvez consulter les informations relatives au trafic signalé sur la page Synthèse du Réseau. Pour de plus amples informations, accédez à À Propos de la Page Synthèse de ThreatSync+.
(Facultatif) Pour ajouter un nouvel Agent de Collecte ThreatSync+ NDR, cliquez sur Ajouter un Agent de Collecte ThreatSync+ NDR. Pour de plus amples informations, accédez à Ajouter un Agent de Collecte ThreatSync+ NDR pour Windows ou Ajouter un Agent de Collecte ThreatSync+ NDR pour Linux.

Si l'ordinateur sur lequel les agents sont installés subit une panne de courant ou si l'ordinateur redémarre suite à l'installation de mises à jour, veillez à redémarrer l'ordinateur.

Modifier un Collecteur d'Agent de Journal Windows

Vous pouvez configurer un Agent de Journal Windows existant à utiliser avec un Agent de Collecte ThreatSync+ NDR que vous avez précédemment installé.

Pour configurer un Agent de Journal Windows existant :

Connectez-vous à votre compte WatchGuard Cloud.
Pour les comptes Service Provider, dans le Gestionnaire de Comptes, sélectionnez Mon Compte.
Sélectionnez Configurer > Intégrations ThreatSync+ > Collecteurs.
Dans l'onglet Agents de Journal Windows, à côté de l'Agent de Journal Windows que vous souhaitez modifier, cliquez sur . Cliquez sur Modifier.
La page Modifier un Agent de Journal Windows s'ouvre.

Screenshot of the Edit Windows Log Agent page

Dans la section Agent de Collecte ThreatSync+ NDR, saisissez l'adresse IP d'un Agent de Collecte ThreatSync+ NDR.
Cliquez sur Enregistrer.
(Facultatif) Pour ajouter un nouvel Agent de Collecte ThreatSync+ NDR, cliquez sur Ajouter un Agent de Collecte ThreatSync+ NDR.

Supprimer un Collecteur d'Agent de Journal Windows

Si vous ne souhaitez plus utiliser un collecteur d'Agent de Journal Windows spécifique, vous pouvez le supprimer à partir de l'UI des Intégrations de ThreatSync+. Lorsque vous supprimez l'agent de journal de l'UI, l'Agent WatchGuard désinstalle automatiquement l'agent de journal.

Pour supprimer un Agent de Journal Windows :

Connectez-vous à votre compte WatchGuard Cloud.
Pour les comptes Service Provider, dans le Gestionnaire de Comptes, sélectionnez Mon Compte.
Sélectionnez Configurer > Intégrations ThreatSync+ > Collecteurs.
Dans l'onglet Agent de Journal Windows, sélectionnez un ou plusieurs collecteurs que vous souhaitez supprimer.

Screenshot of the Collectors page, ThreatSync+ NDR Collections Agents tab that shows the Delete option when you select a collector to be deleted

Cliquez sur Supprimer.

Si vous souhaitez supprimer l'Agent WatchGuard ainsi que les collecteurs, accédez à Supprimer l'Agent de Collecte ThreatSync+ NDR pour Windows ou Supprimer l'Agent de Collecte ThreatSync+ NDR pour Linux.

Dépanner les Problèmes de l'Agent de Journal Windows

Si les informations concernant le trafic signalé sur la page Synthèse du Réseau ne s'affichent pas dans les 60 à 90 minutes, vous pouvez utiliser les informations de cette section pour le dépannage.

Pour dépanner les problèmes liés à l'Agent de Journal Windows :

Dans le Panneau de Configuration de Windows, confirmez que l'Agent de Journal Windows est installé.

Assurez-vous que l'ordinateur Windows répond aux exigences décrites dans la section Exigences de Système de l'Agent de Journal Windows . Vous pouvez installer l'Agent de Journal Windows sur des périphériques Windows exécutant Windows Server 2019 ou Windows Server 2022.
Assurez-vous que le serveur peut joindre l'agent de Collecte ThreatSync+ NDR via le port 514. Assurez-vous qu'aucune règle de pare-feu ne bloque le trafic en provenance du port 514.
Assurez-vous que la virtualisation est activée dans le BIOS. Ces environnements de virtualisation sont vérifiés :

Environnement de Virtualisation de l'Agent de Journal Windows	Microsoft Windows Server 2019	Microsoft Windows Server 2022
VMware ESXi 6.7
VMware ESXi 7.0.3
VMware ESXi 8.0

Confirmez que le service NXLog est en cours d'exécution (nxlog.exe). Recherchez les erreurs dans les fichiers NXLog (c:\Program Files\nxlog) :
- Examinez les fichiers *.conf, *.pm, *.log ainsi que les dossiers récurrents.
- Examinez le journal %windir%\temp\WatchGuard_Log_Collection_Agent_**************.log
- Examinez le journal %windir%\temp\WatchGuard_Log_Collection_Agent_**************_000_NXLog.log
- Examinez le journal %windir%\temp\WatchGuard_Log_Collection_Agent\WatchGuard_Log_Collection_Agent**************_001_NXLogconf.log

Assurez-vous qu'il n'existe aucune installation antérieure de NXLog issue d'un autre éditeur de logiciels.
Dans WatchGuard Cloud, sur la page Configurer > Intégrations ThreatSync+ > Collecteurs, examinez les colonnes suivantes du tableau Agent de Journal Windows :

Surveillance DHCP — Affiche l'état de la surveillance DHCP. Par exemple, En Cours d'Exécution ou Arrêté.
Surveillance de NXLog — Affiche l'état de la surveillance de NXLog. Par exemple, En Cours d'Exécution ou Arrêté.
État — Affiche l'état des Agents de Journal Windows. Cliquez sur l'état pour obtenir plus d'informations. Par exemple, Erreur ou Réussite.

Vous pouvez consulter les journaux de l'Agent WatchGuard dans /usr/local/management-agent/log pour un dépannage plus approfondi.

Rubriques Connexes

À Propos des Collecteurs ThreatSync+ NDR

Configurer les Collecteurs pour ThreatSync+ NDR (Ordinateurs Windows)

Configurer les Collecteurs pour ThreatSync+ NDR (Ordinateurs Linux)

Démarrage Rapide — Configurer ThreatSync+ NDR

© 2025 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard et le logo WatchGuard sont des marques déposées de WatchGuard Technologies, Inc. aux États-Unis et dans d'autres pays. Les autres marques sont détenues par leurs propriétaires respectifs.