Windows Event Forwarding (WEF): logging centralizado sin agentes extra

Windows Event Forwarding (WEF) es una de las capacidades nativas más infravaloradas en entornos Microsoft. Permite centralizar eventos de endpoints y servidores usando componentes incluidos en el sistema, sin instalar agentes de terceros en cada equipo.

Esta guía cubre una implementación práctica con suscripciones source-initiated.

Por qué WEF importa

Funcionalidad nativa de Windows
Filtros XML flexibles para seleccionar eventos
Escala bien mediante Group Policy
Excelente capa previa para ingestión en SIEM

1) Preparar el collector

En el servidor collector (PowerShell como administrador):

wecutil qc /q
winrm quickconfig -q
Set-Service Wecsvc -StartupType Automatic
Set-Service WinRM -StartupType Automatic

Comprueba servicios:

Get-Service Wecsvc, WinRM

2) Crear suscripción source-initiated

En Event Viewer abre:

Applications and Services Logs > Microsoft > Windows > EventCollector

Después:

Ve a Subscriptions
Crea una suscripción Source computer initiated
Selecciona canales y niveles de evento
Aplica filtro XML

Ejemplo de filtro orientado a seguridad:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=4624 or EventID=4625 or EventID=4688 or EventID=4720 or EventID=4728)]]
    </Select>
  </Query>
</QueryList>

3) Configurar Group Policy para clientes

En GPMC, aplica a equipos objetivo:

Configure target Subscription Manager
Allow remote server management through WinRM
Windows Remote Management service startup

Ejemplo de Subscription Manager:

Server=http://wef-collector.domain.local:5985/wsman/SubscriptionManager/WEC,Refresh=60

Fuerza actualización de políticas:

gpupdate /force

4) Validar forwarding

En cliente:

wevtutil qe ForwardedEvents /c:5 /f:text

En collector, revisa Forwarded Events y monitoriza volumen para confirmar estabilidad.

5) Endurecimiento y operación

Usar HTTPS cuando sea necesario

En entornos estrictos, configura listeners WinRM HTTPS con certificados confiables.

Ajustar filtros de forma intencional

No reenviar todo por defecto. Comienza con:

Eventos de autenticación
Creación de procesos (4688)
Cambios de cuentas y grupos
Eventos críticos de sistema y servicios

Dimensionar logs correctamente

Aumenta el tamaño de Forwarded Events para absorber picos y evita pérdidas durante incidentes.

Verificaciones rápidas de problemas

No llegan eventos

Validar DNS y conectividad al collector
Revisar listeners WinRM en origen y destino
Confirmar valor correcto de SubscriptionManager en GPO

Errores de acceso denegado

Revisar permisos del collector
Confirmar confianza de dominio y alcance de equipos

Retraso alto en eventos

Reducir canales ruidosos
Ajustar refresh y batching
Validar CPU/disco del collector

Conclusión

WEF proporciona una base de logging centralizado de baja fricción en ecosistemas Windows. Con suscripciones source-initiated y filtros bien elegidos, puedes obtener telemetría útil con menor complejidad operativa.

Es un paso excelente antes de una normalización SIEM completa, especialmente para organizaciones que priorizan controles nativos y menor huella de agentes.

Frequently Asked Questions

¿Por qué usar WEF si ya tengo un SIEM?

WEF funciona como capa nativa de recolección que centraliza logs de Windows antes de su ingestión. Puede reducir la dependencia de agentes en endpoints y entregar telemetría estructurada para tu SIEM.

¿Cuál es la diferencia entre suscripción source-initiated y collector-initiated?

Source-initiated suele ser mejor a escala porque los clientes conocen el colector vía GPO. Collector-initiated puede servir en entornos pequeños, pero se vuelve más difícil de operar cuando crece el número de equipos.

¿WEF puede recopilar logs de controladores de dominio y workstations al mismo tiempo?

Sí. Puedes reenviar eventos desde múltiples tipos de equipos y separar suscripciones por rol, OU o canal de eventos para mejorar procesamiento y retención.