Windows Event Forwarding (WEF) : journalisation centralisée sans agents supplémentaires

Windows Event Forwarding (WEF) est une capacité native souvent sous-utilisée dans les environnements Microsoft. Elle centralise les événements de postes et serveurs via des composants Windows intégrés, sans déployer d’agent tiers sur chaque machine.

Ce guide présente un déploiement source-initiated, généralement le plus adapté à l’échelle.

Pourquoi WEF est important

Fonctionnalité native Windows
Filtres XML précis pour sélectionner les événements
Passage à l’échelle via Group Policy
Excellente couche intermédiaire avant SIEM

1) Préparer le collecteur

Sur le serveur collector (PowerShell admin) :

wecutil qc /q
winrm quickconfig -q
Set-Service Wecsvc -StartupType Automatic
Set-Service WinRM -StartupType Automatic

Contrôlez l’état des services :

Get-Service Wecsvc, WinRM

2) Créer un abonnement source-initiated

Dans Event Viewer :

Applications and Services Logs > Microsoft > Windows > EventCollector

Puis :

Ouvrez Subscriptions
Créez Source computer initiated
Sélectionnez canaux et niveaux
Appliquez un filtre XML

Exemple de filtre sécurité :

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=4624 or EventID=4625 or EventID=4688 or EventID=4720 or EventID=4728)]]
    </Select>
  </Query>
</QueryList>

3) Configurer la GPO côté clients

Dans GPMC, appliquez :

Configure target Subscription Manager
Allow remote server management through WinRM
Windows Remote Management service startup

Exemple Subscription Manager :

Server=http://wef-collector.domain.local:5985/wsman/SubscriptionManager/WEC,Refresh=60

Forcer l’actualisation :

gpupdate /force

4) Valider le forwarding

Sur un client :

wevtutil qe ForwardedEvents /c:5 /f:text

Sur le collecteur, contrôlez Forwarded Events et le débit d’événements.

5) Durcissement et exploitation

Utiliser HTTPS si nécessaire

Dans les environnements exigeants, configurez WinRM HTTPS avec certificats de confiance.

Filtrer de manière ciblée

Évitez de tout transférer. Commencez par :

Événements d’authentification
Création de processus (4688)
Modifications comptes/groupes
Événements système critiques

Dimensionner les journaux

Augmentez la taille de Forwarded Events pour absorber les pics et éviter les pertes.

Dépannage rapide

Aucun événement reçu

Vérifier DNS et connectivité collecteur
Contrôler listeners WinRM source/destination
Vérifier la valeur SubscriptionManager en GPO

Erreurs d’accès refusé

Vérifier permissions sur le collecteur
Contrôler confiance de domaine et périmètre des machines

Forte latence des événements

Réduire les canaux bruités
Ajuster refresh et batching
Vérifier capacité CPU/disque du collecteur

Conclusion

WEF fournit une base de journalisation centralisée à faible friction pour les environnements Windows. Avec des abonnements source-initiated et des filtres pertinents, vous obtenez une télémétrie utile sans complexité excessive.

C’est un excellent point de départ avant une normalisation SIEM complète, surtout si vous privilégiez les contrôles natifs et une faible empreinte endpoint.

Frequently Asked Questions

Pourquoi utiliser WEF si un SIEM existe déjà ?

WEF sert de couche de collecte native pour centraliser les journaux Windows avant ingestion. Cela réduit l'empreinte d'agents et fournit des événements structurés à destination du SIEM.

Quelle différence entre source-initiated et collector-initiated ?

Source-initiated est généralement préférable à grande échelle, car les clients connaissent le collecteur via GPO. Collector-initiated peut fonctionner en petit périmètre, mais devient plus difficile à gérer en croissance.

WEF peut-il collecter simultanément DC et postes utilisateurs ?

Oui. Vous pouvez collecter depuis différents rôles Windows et séparer les abonnements par OU, rôle ou canal afin d'améliorer traitement et rétention.