愛文娛己的教學筆記

閱讀完本文後，你將會知道如何安裝設定 Splunk ，並擷取遠端 Server 的伺服器的 WMI 資料，如 CPUTime, Memory, LocalNetwork 等等。 前言： 假設內網裡有 Server A ，用作 Splunk Center ， Window2k3Server ， IP 192.168.2.100 。 Server B 用作 Client ， Window2k3Server ， IP 192.168.2.101. 1. 下載並安裝 Splunk 於 A Server 上： a. 安裝成 Local System User b. 安裝完成後檢查 8000 與 8089 是否處於 Listen 狀態 c. 在瀏覽器上輸入 http://192.168.2.100:8000 是否能顯示 Splunk 的登入介面。 d. 輸入用戶名 :Admin ，密碼 : changeme e. 在應用 ->Search 中，搜尋一下本機的 Log 檢查看看是否已經能找到 Log 並 Index 成資料庫。如關鍵字： LogName=Application f. 修改 Splunk 的 Admin 密碼。在 Search-> 管理 -> 使用者 2. 設定擷取遠端 Server B 的 WMI 資料 a. 在 Server A 上新增 User ，本例使用 SplunkAdmin ，並配置 Administrators 權限。設置此使用者的密碼。 b. 在 Server B 上新增 User ，要與點 a 一樣的 User 名字與一樣的密碼，本例使用 SplunkAdmin ，並配置 Performance Log Users 與 Performance Monitor Users 權限。 c. 設置 Server B 的 WMI 使用權： Computer Management->Services and Applications->WMI Control->Properties->Security ，點擊 Ro...

標題沒下的很好。 最近接觸了一套跑WMI的軟件，幫忙管理subnet內的Server的健康情況。 這套軟件是跑WMI的，所以需要WMI Service。但當我做完所有要求的設定並成功地開始監控Client Server時，安全憂慮就開始產生了。 要一台Server A去監管另一台Server B，需要用到網路和端口，可是我一開始留意到的是，當Server A 連線到 Server B後，Server B 卻產生一個動態端口去讓Server A連接，這大大挑戰了防火牆設定的難度。 以下文章記錄了小弟研究解決方案的心路歷程(笑)，難度可能是大學階段吧。 整個軟件(似乎太多數軟件)是這樣跑的。 1. A訪問B的135Port(RPC)，嘗試與B連線。 2. A與B建立連線後，B的RPC找尋一個可用的端口，呼叫winmgmt聆聽，並將端口資訊傳回給A。(編按：注意! 將端口資訊傳回給A是RPC的工作，並不是winmgmt的工作，因為到現在為止A的Client只有和B的135Port連線，而端口資訊是經由這條連線回傳的，這是由擷取的封包中得到的答案) 3. A收到B的winmgmt聆聽端口後，嘗試對此端口建立連線，一旦成功則從此連線中擷取B的wmi資料。 就是以上這麼簡單的流程，但中間一旦隔一層防火牆，即時出現問題。A->B開B的135Port是肯定的了，問題是步驟2的端口，到底要開甚麼呢? 這將視乎RPC在當時找到哪一個可用的端口給winmgmt用，而預設情況下，RPC會開1025-5000中的其中一個Port，大概會從1025開始一個一個嘗試吧，如果防火牆中把1025-5000開起來，在網絡安全的角度裡似乎不太合理。 既然是RPC找的端口，當然方向是只好從RPC著手。在上述的理據中，很容易讓人聯想到，假如能限制RPC開放端口的範圍，問題就好解決了。當我知道這事實之後，前途一片光明，因為要設定RPC的方法太好找了。 解決：如果你不想手動地搞到註冊表，你需要一件工具去輔助你。 http://www.microsoft.com/Downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en 上述網址有個rktool.exe，是給Window Server 200...