Prerequisiti per il monitoraggio e l’inoltro dei log eventi di Windows<\/h2>\n
L’obiettivo principale della soluzione di monitoraggio dei log eventi di Windows dovrebbe essere quello di garantire che non vengano persi segnali che riguardano la sicurezza. Altri obiettivi dovrebbero essere quelli di garantire il rilevamento e la notifica di eventi importanti o di comportamenti sospetti, di centralizzare l’archiviazione dei log critici e di consentire la correzione dei problemi noti tramite script.<\/p>\n
Per monitorare e inoltrare i log eventi di Windows su Windows 10, Windows 11 e Windows Server 2016 e versioni successive, avrai bisogno di quanto segue:<\/p>\n
- \n
- Accesso amministrativo su tutte le macchine<\/li>\n
- Accesso a PowerShell<\/li>\n
- Un dominio Active Directory se si distribuiscono gli oggetti dei Criteri di gruppo<\/li>\n<\/ul>\n
Tieni a mente che, sebbene alcuni degli esempi riportati di seguito prevedano l’invio di e-mail per le notifiche, potrebbe essere preferibile utilizzare una soluzione di terze parti per inviare le notifiche o inoltrare le voci di log rilevanti a una\u00a0piattaforma centrale<\/a>\u00a0(per esempio utilizzando un’applicazione client o tramite un’API REST). Come per tutte le funzionalit\u00e0 IT e MSP critiche, dovresti verificare che le soluzioni implementate soddisfino i tuoi requisiti specifici e siano adatte al tuo ambiente.<\/p>\n
Metodo 1: Utilizzo di Visualizzatore eventi e Utilit\u00e0 di pianificazione per un’automazione basata su GUI<\/h2>\n
Il Visualizzatore eventi di Windows pu\u00f2 essere utilizzato per automatizzare l’inoltro delle voci del registro eventi con l’Utilit\u00e0 di pianificazione di Windows. Per farlo:<\/p>\n
- \n
- Apri il Visualizzatore eventi di Windows dal menu Start o eseguendo\u00a0eventvwr.msc<\/strong>\u00a0dalla finestra di dialogo Esegui<\/li>\n
- Individua l’evento richiesto tra i log (per esempio\u00a0Windows > Sistema > ID Evento 1001<\/strong>\u00a0per i report sugli arresti anomali)<\/li>\n
- Clicca con il tasto destro del mouse<\/strong>\u00a0sull’evento, quindi seleziona\u00a0Allega attivit\u00e0 a questo evento…<\/strong>\u00a0e assegna all’attivit\u00e0 un\u00a0nome<\/strong><\/li>\n<\/ul>\n
![\"Barra](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image4.png\")
<\/h2>\n![\"Creare](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image6.png\")
<\/p>\n- \n
- Quando ti viene richiesta un’azione<\/strong>\u00a0da intraprendere, seleziona\u00a0Avvia un programma<\/strong>\u00a0(potresti anche inviare un’e-mail o visualizzare un messaggio, ma queste azioni sono deprecate)<\/li>\n<\/ul>\n
![\"Opzioni](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image5.png\")
<\/h2>\n- \n
- Inserisci il percorso del programma o dello script e gli eventuali argomenti<\/li>\n<\/ul>\n
![\"Avvia](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image8.png\")
<\/h2>\n![\"Conferma](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image7.png\")
<\/h2>\n- \n
- Conferma i dettagli e clicca su\u00a0Fine<\/strong><\/li>\n<\/ul>\n
Questa attivit\u00e0 verr\u00e0 quindi eseguita ogni volta che si verifica l’evento, con i dettagli dell’evento. Il programma o lo script utilizzato come azione potrebbe essere un client di terze parti per l’invio di notifiche, oppure uno script che esegue la diagnostica e poi riavvia i servizi prima di inviare una notifica o inoltrare i dati diagnostici a un altro servizio.<\/p>\n
Metodo 2: Utilizzare PowerShell per il monitoraggio e la risposta centralizzati<\/h2>\n
In alternativa, puoi utilizzare uno script PowerShell per cercare eventi specifici e inviare avvisi, come mostrato nello script di esempio qui sotto:<\/p>\n
$Events = Get-WinEvent -FilterHashtable @{LogName=’Security’; ID=4625; StartTime=(Get-Date).AddMinutes(-5)}<\/strong><\/p>\n
foreach ($e in $Events) {<\/strong><\/p>\n
$message = $e.Message<\/strong><\/p>\n
# Azione personalizzata: invio di un’e-mail, attivazione di un flusso o scrittura in un registro esterno<\/strong><\/p>\n
Send-MailMessage -To ‘admin@example.com’ -From ‘alerts@example.com’ -Subject ‘Failed Login Attempt’ -Body $message -SmtpServer ‘smtp.example.com’<\/strong><\/p>\n
}<\/strong><\/p>\n
Utilizza il cmdlet\u00a0Get-WinEvent<\/a>\u00a0per cercare gli eventi con l’ID specificato (in questo caso,\u00a04625<\/strong>\u00a0per un accesso non riuscito) degli ultimi 5 minuti. Tieni presente ancora una volta che Send-MailMessage \u00e8 deprecato e dovresti invece fare affidamento sugli avvisi RMM o sulle API per Slack o altri servizi di notifica che sono disponibili al momento.<\/p>\n
Puoi utilizzare l’Utilit\u00e0 di pianificazione o il cmdlet\u00a0Register-ScheduledTask<\/a>\u00a0per automatizzarne l’esecuzione (impostando l’esecuzione allo stesso intervallo di tempo impostato nello script). Puoi anche distribuire lo script utilizzando una soluzione RMM come NinjaOne o tramite Criteri di gruppo.<\/p>\n
Metodo 3: Utilizzo del prompt dei comandi per il polling manuale o l’attivazione di script<\/h2>\n
Puoi inoltre rilevare la creazione di nuove voci di registro utilizzando\u00a0wevtutil<\/a>\u00a0nel prompt dei comandi di Windows o utilizzando un file batch.<\/p>\n
Il comando seguente utilizza wevtutil per cercare gli eventi con ID\u00a04625<\/strong>\u00a0e restituisce l’ultima voce corrispondente:<\/p>\n
wevtutil qe Security “\/q:*[System[(EventID=4625)]]” \/c:1 \/f:text<\/strong><\/p>\n
Questo comando pu\u00f2 essere attivato dall’Utilit\u00e0 di pianificazione, da uno script batch o PowerShell, consentendo di verificare varie condizioni sull’ultima voce di registro corrispondente per un ID evento e di attivare ulteriori azioni, se necessario.<\/p>\n
Metodo 4: Utilizzo dei Criteri di gruppo per l’inoltro dei log e l’auditing basato su criteri<\/h2>\n
I Criteri di gruppo in Active Directory<\/a>\u00a0possono essere usati per abilitare e configurare l’inoltro dei log eventi tra i computer uniti al dominio Windows. Per farlo:<\/p>\n
- \n
- Apri la console di gestione dei Criteri di gruppo<\/li>\n
- Accedi a\u00a0Configurazione del computer > Modelli amministrativi > Componenti di Windows > Inoltro eventi<\/strong><\/li>\n
- Regola le impostazioni\u00a0Configura il gestore delle sottoscrizioni di destinazione (definisci l’URI del collettore)<\/strong>,\u00a0Abilita l’inoltro degli eventi<\/strong>\u00a0e\u00a0Usa\u00a0<\/strong>WinRM<\/strong><\/a>\u00a0per la comunicazione sicura<\/strong><\/li>\n<\/ul>\n
![\"Configura](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image2.png\")
<\/h2>\nL’applicazione dei criteri di audit pu\u00f2 essere configurata accedendo a\u00a0Configurazione del computer > Impostazioni di Windows > Impostazioni di sicurezza > Configurazione avanzata dei criteri di audit > Criteri di audit del sistema<\/strong>\u00a0e abilitando i criteri di audit per eventi quali eventi di accesso e accesso agli oggetti. Criteri di dimensione, conservazione e sovrascrittura dei log possono essere configurati opzionalmente utilizzando i Criteri di gruppo.<\/p>\n
![\"Editor](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image1-5.png\")
<\/p>\nUsare il Registro di Windows per impostare le dimensioni, la conservazione e il comportamento dei log eventi<\/h2>\n
- Regola le impostazioni\u00a0Configura il gestore delle sottoscrizioni di destinazione (definisci l’URI del collettore)<\/strong>,\u00a0Abilita l’inoltro degli eventi<\/strong>\u00a0e\u00a0Usa\u00a0<\/strong>WinRM<\/strong><\/a>\u00a0per la comunicazione sicura<\/strong><\/li>\n<\/ul>\n
- Conferma i dettagli e clicca su\u00a0Fine<\/strong><\/li>\n<\/ul>\n
- Inserisci il percorso del programma o dello script e gli eventuali argomenti<\/li>\n<\/ul>\n
- Individua l’evento richiesto tra i log (per esempio\u00a0Windows > Sistema > ID Evento 1001<\/strong>\u00a0per i report sugli arresti anomali)<\/li>\n
- Apri il Visualizzatore eventi di Windows dal menu Start o eseguendo\u00a0eventvwr.msc<\/strong>\u00a0dalla finestra di dialogo Esegui<\/li>\n
![\"Editor](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2025\/09\/image3.png\")
<\/h2>\n