通过WMI远程采集Windows日志

通过WMI远程采集Windows日志

作者：空灵

1.在Windows主机上创建用户，并把此用户加入本地管理员组中，例如：用户kongling

并且确保所有主机kongling用户的密码相同

2.运行dcomcnfg.exe命令

更改splunkag用户COM安全权限，点击“组件服务”->“计算机”->“我的电脑”->“右键属性”

3.更改用户splunkag访问权限，COM安全->访问权限->编辑限制

4.在安全限制列表中，添加kongling用户，并且保证kongling用户有本地访问和远程

访问权限

5.更改kongling用户COM安全的启动和激活权限

在“启动和激活权限”列表中添加splunkag用户，确保此用户有本地启动，远程启动和远程激活权限。

6.开始菜单->运行->WmiMgmt.msc，WMI权限配置

更改用户kongling的WMI控件权限。“右键WMI控件”->“安全”->“root”->“安全设置”

7.在安全设置root列表中，添加kongling用户，确保此用户具有权限：

8.执行方法、启用账号、远程启用、读取

8. 在安全设置root列表中，选择kongling用户，点击“高级”->“kongling”->“编辑”->“应用于”选择“这个命名空间和子命名空间”

9. 控制面板->用户账户->更改账户控制设置，设置为从不通知，重启即可

->