Configurer une infrastructure WEF avancée sur Windows Server Core : supervision centralisée et sécurité des journaux

Le Windows Event Forwarding (WEF) est une solution native pour centraliser les journaux d’événements Windows, sans agent tiers. Déployée sur Windows Server Core, elle permet une surveillance continue, essentielle dans les architectures Zero Trust. Ce guide présente une configuration avancée, incluant HTTPS, filtrage XML, quotas, authentification Kerberos et audit de l’intégrité des logs reçus.

1. Activer le rôle de collecteur d’événements

wecutil qc

Configure automatiquement le service Windows Event Collector et l’active pour réception.

2. Créer une souscription WEF sécurisée par HTTPS

New-EventLog -LogName ForwardedEvents
$Subscription = @"

  Sec-Logs
  CollectorInitiated
  true
  http://schemas.microsoft.com/wbem/wsman/1/windows/EventLog
  
    Push
    
      25
      15
    
  
  
    SYSTEM
    
    Kerberos
    Kerberos
  

"@
Set-Content -Path "C:\Subscriptions\Sec-Logs.xml" -Value $Subscription
wecutil cs "C:\Subscriptions\Sec-Logs.xml"

Configure une souscription sécurisée par Kerberos. La couche HTTPS peut être ajoutée via un certificat TLS si requis.

3. Restreindre les événements collectés avec un filtre XML

<QueryList>
  <Query Id="0" Path="Security">
    <Select>*[System[(EventID=4624 or EventID=4625 or EventID=4672)]]</Select>
  </Query>
</QueryList>

Ce filtre permet de ne remonter que les événements de connexion (acceptés, refusés, droits spéciaux).

4. Forcer le chiffrement réseau (HTTPS avec WinRM)

winrm quickconfig -transport:https
winrm set winrm/config/service @{AllowUnencrypted="false"}
winrm set winrm/config/service/auth @{Kerberos="true"}

Chiffre les flux de journaux entre clients et collecteur. Prévoir certificat SSL côté serveur.

5. Surveiller le flux de logs et détecter les ruptures

Get-WinEvent -LogName ForwardedEvents -MaxEvents 50 | Group-Object -Property ProviderName

Permet de détecter les hôtes inactifs ou les sources de bruit excessif.

6. Exporter automatiquement les événements critiques vers un SIEM

$events = Get-WinEvent -LogName ForwardedEvents -FilterXPath "*[System[(Level=1 or Level=2)]]"
$events | Export-Csv -Path "\\siem\logs\critical-forwarded.csv" -NoTypeInformation

Facilite l’intégration des logs vers un ELK, Splunk ou Graylog sans agent.

Conclusion

Le WEF sur Windows Server Core offre une solution de supervision puissante, scriptable et sécurisée pour les environnements segmentés. En combinant filtrage XML, HTTPS, Kerberos et export SIEM, les SOC peuvent bénéficier d’une visibilité complète sur les systèmes critiques, sans alourdir l’infrastructure avec des agents tiers ou solutions complexes.