Windows Event Forwarding (WEF): zentrales Logging ohne zusätzliche Agents

Windows Event Forwarding (WEF) gehört zu den unterschätzten nativen Sicherheitsfunktionen in Microsoft-Umgebungen. Es zentralisiert Logs von Endpunkten und Servern über eingebaute Windows-Dienste, ohne zusätzliche Drittanbieter-Agents.

Diese Anleitung fokussiert ein praxisnahes source-initiated Setup.

Warum WEF relevant ist

Native Windows-Funktion
Flexible XML-Filter zur Event-Auswahl
Gute Skalierung über Group Policy
Sinnvolle Vorstufe vor SIEM-Ingestion

1) Collector vorbereiten

Auf dem Collector-Server (PowerShell als Administrator):

wecutil qc /q
winrm quickconfig -q
Set-Service Wecsvc -StartupType Automatic
Set-Service WinRM -StartupType Automatic

Dienststatus prüfen:

Get-Service Wecsvc, WinRM

2) Source-initiated Subscription erstellen

In Event Viewer:

Applications and Services Logs > Microsoft > Windows > EventCollector

Dann:

Subscriptions öffnen
Source computer initiated erstellen
Kanäle und Event-Level auswählen
XML-Filter setzen

Beispiel für sicherheitsrelevanten Filter:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=4624 or EventID=4625 or EventID=4688 or EventID=4720 or EventID=4728)]]
    </Select>
  </Query>
</QueryList>

3) Group Policy für Clients konfigurieren

In GPMC folgende Richtlinien anwenden:

Configure target Subscription Manager
Allow remote server management through WinRM
Windows Remote Management service startup

SubscriptionManager-Beispiel:

Server=http://wef-collector.domain.local:5985/wsman/SubscriptionManager/WEC,Refresh=60

Policy aktualisieren:

gpupdate /force

4) Forwarding validieren

Auf dem Client:

wevtutil qe ForwardedEvents /c:5 /f:text

Auf dem Collector Eingänge in Forwarded Events und Event-Volumen prüfen.

5) Härtung und Betrieb

HTTPS nutzen, wenn erforderlich

In streng regulierten Umgebungen WinRM-HTTPS-Listener mit Zertifikaten einrichten.

Filter gezielt halten

Nicht pauschal alles weiterleiten. Starte mit:

Authentifizierungsereignissen
Prozess-Erstellung (4688)
Konto-/Gruppenänderungen
Kritischen System-/Service-Events

Log-Größe korrekt dimensionieren

Forwarded Events größer dimensionieren, um Event-Spitzen ohne Datenverlust aufzufangen.

Schnelle Troubleshooting-Checks

Keine Events kommen an

DNS und Erreichbarkeit zum Collector prüfen
WinRM-Listener auf Quelle und Ziel prüfen
SubscriptionManager-Wert in GPO verifizieren

Access denied

Berechtigungen am Collector prüfen
Domain-Trust und Computer-Scope kontrollieren

Hohe Event-Latenz

Rauschende Kanäle reduzieren
Refresh-Intervall und Batching anpassen
CPU/Disk-Kapazität des Collectors prüfen

Fazit

WEF bietet eine reibungsarme Grundlage für zentrales Logging in Windows-Umgebungen. Mit source-initiated Subscriptions und fokussierten Filtern erhältst du wertvolle Telemetrie bei überschaubarem Betriebsaufwand.

Es ist ein sehr guter Zwischenschritt vor vollständiger SIEM-Normalisierung, besonders wenn native Kontrollen und geringer Endpoint-Footprint wichtig sind.

Frequently Asked Questions

Warum WEF nutzen, wenn bereits ein SIEM vorhanden ist?

WEF ist eine native Sammelschicht, die Windows-Logs zuverlässig zentralisiert, bevor sie ins SIEM gehen. Das reduziert Agent-Footprint auf Endpunkten und liefert strukturierte Telemetrie für die weitere Verarbeitung.

Was ist der Unterschied zwischen source-initiated und collector-initiated Subscriptions?

Source-initiated ist bei größeren Umgebungen meist besser, da Clients per GPO wissen, wohin sie senden. Collector-initiated kann in kleinen Setups funktionieren, skaliert aber organisatorisch schlechter.

Kann WEF Security-Logs von Domain Controllern und Clients gemeinsam erfassen?

Ja. Du kannst von unterschiedlichen Windows-Rollen sammeln und Subscriptions nach OU, Rolle oder Event-Kanal trennen, um Verarbeitung und Retention sauber zu steuern.