Windows Event Forwarding (WEF): logging centralizado sem agentes extras

O Windows Event Forwarding (WEF) é uma das capacidades nativas mais úteis e menos exploradas no ecossistema Microsoft. Ele permite centralizar eventos de endpoints e servidores usando serviços nativos do Windows, sem instalar coletor de terceiros em cada host.

Este guia apresenta um modelo source-initiated, normalmente o mais sustentável em escala.

Por que WEF é importante

Recurso nativo do Windows
Filtros XML flexíveis para seleção de eventos
Escalabilidade com Group Policy
Boa camada intermediária antes do SIEM

1) Prepare o collector

No servidor collector (PowerShell como administrador):

wecutil qc /q
winrm quickconfig -q
Set-Service Wecsvc -StartupType Automatic
Set-Service WinRM -StartupType Automatic

Valide estado dos serviços:

Get-Service Wecsvc, WinRM

2) Crie assinatura source-initiated

No Event Viewer abra:

Applications and Services Logs > Microsoft > Windows > EventCollector

Depois:

Acesse Subscriptions
Crie assinatura Source computer initiated
Selecione canais e níveis
Aplique filtro XML

Exemplo de filtro com foco em segurança:

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">
      *[System[(EventID=4624 or EventID=4625 or EventID=4688 or EventID=4720 or EventID=4728)]]
    </Select>
  </Query>
</QueryList>

3) Configure GPO para clientes

No GPMC, aplique para computadores alvo:

Configure target Subscription Manager
Allow remote server management through WinRM
Windows Remote Management service startup

Exemplo de Subscription Manager:

Server=http://wef-collector.domain.local:5985/wsman/SubscriptionManager/WEC,Refresh=60

Atualize política:

gpupdate /force

4) Valide o encaminhamento

No cliente:

wevtutil qe ForwardedEvents /c:5 /f:text

No collector, confirme eventos em Forwarded Events e monitore volume.

5) Hardening e operação

Use HTTPS quando necessário

Em ambientes regulados, configure listener WinRM HTTPS com certificados válidos.

Ajuste filtros com critério

Evite encaminhar tudo. Comece por:

Eventos de autenticação
Criação de processo (4688)
Mudanças de conta/grupo
Eventos críticos de sistema/serviço

Dimensione logs corretamente

Aumente o tamanho de Forwarded Events para suportar picos e reduzir perda.

Troubleshooting rápido

Nenhum evento chegando

Valide DNS e conectividade com collector
Verifique listener WinRM em origem e destino
Revise valor do SubscriptionManager no GPO

Erro de acesso negado

Confira permissões no collector
Valide trust de domínio e escopo dos computadores

Atraso alto de eventos

Reduza canais ruidosos
Ajuste refresh e batching
Verifique CPU/disco do collector

Conclusão

WEF oferece uma base de logging centralizado com baixo atrito em ambientes Windows. Com assinaturas source-initiated e filtros objetivos, é possível obter telemetria de alto valor com menor complexidade operacional.

É um passo excelente antes da normalização completa no SIEM, principalmente para equipes que priorizam controle nativo e menor footprint de agentes.

Frequently Asked Questions

Por que usar WEF se eu já tenho SIEM?

WEF é uma camada nativa de coleta que centraliza logs Windows antes da ingestão. Isso reduz dependência de agentes e fornece telemetria estruturada para envio ao SIEM.

Qual a diferença entre source-initiated e collector-initiated?

Source-initiated costuma ser melhor em escala, pois clientes sabem para qual coletor enviar via GPO. Collector-initiated funciona em ambientes pequenos, mas complica quando o número de endpoints cresce.

WEF coleta logs de controladores de domínio e workstations juntos?

Sim. Você pode encaminhar eventos de diferentes papéis e separar assinaturas por OU, função ou canal de evento para melhorar retenção e análise.