建立服务帐户

你需要一个服务帐户收集InsightIDR日志数据．但是，您使用的帐户必须满足使用InsightIDR的特定要求。

您可以指定一个已存在的用户帐号，也可以创建一个满足以下所有要求的服务帐号:

活动目录的权限

Active Directory事件源收集域控制器安全日志，因此您的服务帐户必须是domain Admins组成员的域帐户。

如果您不想将服务帐户添加到Domain Admins组，有三个选项可以使用:

你可以安装必威体育app登录在每个域控制器上，这是提供域管理帐户的首选选择。如果决定在域控制器上安装Insight Agent，则不需必威体育app登录要在domain Admins组中创建域帐户。

使用这种方法的集合是有限的，因为您将无法使用Insight Agent从域控制器获得额外的日志。必威体育app登录只有Insight Agent文档中列出的事件必威体育app登录处理。

收集域控制器事件

缺省情况下，Insight Ag必威体育app登录ent收集审计日志事件。为了收集安装了Insight Agent的域控制器所管理的所有终端的用户登录、登录失败和密码修改信息，需要在InsightIDR中启用域控制器事件。必威体育app登录

验证日志是否被发送到收集器

从左边的菜单中，单击日志搜索查看原始日志。搜索和筛选位于Active Directory管理活动、资产认证和主机到IP观察下的所有端点代理日志集。
运行查询(source_json.isDomainController = true) groupby (source_json.computerName)只在域控制器上进行筛选，并按域控制器返回一个分组。
验证您是否可以看到域控制器的解析事件。

如果您不想使用Insight Agent，则使用NXLog是必威体育app登录下一个首选选择。学习如何使用NXLog收集安全日志事件信息。

最后,你可以创建一个非admin域控制器帐户．注意，Rapid7不支持此方法。

收集LDAP事件源需要一个域帐户，该域帐户对域中的所有用户和组具有读权限。

Microsoft DNS事件源要求您使用一个服务帐户，该帐户是一个对写入每个DNS服务器共享的DNS审计跟踪具有读权限的域帐户。

当您在DNS管理工具中配置日志记录时，您必须指定要将日志记录到哪里。然后，您必须手动为日志创建一个文件夹并将其放在该文件夹中。您可以在配置日志文件期间为其命名任何您想要的名称。要授予读权限，创建文件共享并授予服务帐户对文件共享和NTFS文件系统的访问权限。

看到DNS为更多的信息。

Microsoft DHCP事件源要求您使用一个具有读权限的服务帐户来收集日志文件，默认位于这里:C:\Windows\system32\dhcp．

要授予读权限，创建文件共享并授予服务帐户对文件共享和NTFS文件系统的访问权限。

如果选择从默认路径收集DHCP日志，必须使用Pattern Match字段，并使用DhcpSrvLog * . log作为模式匹配。但是，如果方便的话，您可以将DHCP日志移动到其他位置。看到微软DHCP为更多的信息。

您可以在Windows机器上启用文件共享来共享文件夹和磁盘卷。开启文件共享有以下三种方式:

使用Windows文件资源管理器启用文件共享。

PowerShell是一个用于任务和脚本语言的命令行shell。

使用PowerShell授予文件共享权限:

以管理员身份打开PowerShell。
运行以下命令New-SmbShare -Name scripts -Path 'E:scripts' -FullAccess Everyone . txt授予所有用户对共享文件夹的访问权限。

如果您安装了File Server角色，您可以使用PowerShell或类似的工具在Server Manager上应用适当的权限。

在服务器管理器中授予文件共享权限:

在PowerShell,运行Get-WindowsFeature - name FS-FileServer确认Windows具有文件服务器角色。如果没有，则使用命令安装安装- windows feature -Name FS-FileServer -IncludeAllSubFeature -IncludeManagementTools．
打开服务器管理器。
选择文件和存储服务>共享。
在右侧，单击股票下拉选择新股．
当“新建共享向导”出现时，选择一个文件共享配置文件。
完成文件共享向导来创建文件共享。