Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Información general sobre WinCollect

WinCollect es un reenviador de eventos Syslog que los administradores pueden usar para reenviar eventos de registros de Windows a JSA. WinCollect puede recopilar eventos de sistemas localmente o configurarse para sondear remotamente otros sistemas Windows en busca de eventos.

WinCollect es una de las muchas soluciones para la recopilación de eventos de Windows. Para obtener más información acerca de las alternativas a WinCollect, consulte la Guía de configuración de DSM.

¿Cómo funciona WinCollect?

WinCollect utiliza la API de registro de eventos de Windows para recopilar eventos y, a continuación, WinCollect envía los eventos a JSA.

Implementación administrada de WinCollect

Una implementación de WinCollect administrada tiene un dispositivo JSA que comparte información con el agente de WinCollect instalado en los hosts de Windows que desea supervisar. El host de Windows puede recopilar información de sí mismo, del host local o de hosts remotos de Windows. Los hosts remotos no tienen instalado el software WinCollect. El host de Windows con el software WinCollect instalado sondea los hosts remotos y, a continuación, envía información de eventos a JSA.

Figura 1: Ejemplo WinCollect Managed Deployment Example de implementación administrada de WinCollect
Nota:

En una implementación administrada, los agentes de WinCollect instalados en hosts de Windows pueden ser administrados por cualquier consola JSA , recopilador de eventos o procesador de eventos.

En una implementación administrada, WinCollect está diseñado para funcionar con hasta 500 agentes de Windows por consola y host administrado. Por ejemplo, si tiene una implementación con una consola, un procesador de eventos y un recopilador de eventos, cada uno puede admitir hasta 500 agentes de Windows, para un total de 1.500. Si desea supervisar más de 500 agentes de Windows por consola o host administrado, use la implementación independiente de WinCollect.

Para obtener más información, vea Instalaciones independientes de WinCollect

La implementación administrada de WinCollect tiene las siguientes capacidades:

  • Administración central desde la consola JSA o el host administrado.

  • Creación automática del origen de registro local en el momento de la instalación.

  • Almacenamiento de eventos para garantizar que no se elimine ningún evento.

  • Recopila eventos reenviados de suscripciones de Microsoft.

  • Filtra eventos mediante consultas XPath o filtros de exclusión.

  • Admite instalaciones de máquinas virtuales.

  • La consola puede enviar actualizaciones de software a agentes remotos de WinCollect sin que reinstale agentes en la red.

  • Reenvía eventos según una programación determinada (Almacenar y reenviar)

Implementación independiente de WinCollect

Si necesita recopilar eventos de Windows de más de 500 hosts, use la implementación independiente de WinCollect. Una implementación independiente es un host de Windows en modo no administrado con software WinCollect instalado. El host de Windows puede recopilar información de sí mismo, del host local o de hosts remotos de Windows. Los hosts remotos no tienen instalado el software WinCollect. El host de Windows con el software WinCollect instalado sondea los hosts remotos y, a continuación, envía información de eventos a JSA. Para ahorrar tiempo al configurar más de 500 hosts Windows, puede usar una solución como Juniper Networks Endpoint Manager. La automatización puede ayudarle a administrar instancias independientes.

Figura 2: Ejemplo WinCollect Stand-alone Deployment Example de implementación independiente de WinCollect

También puede implementar WinCollect independiente para consolidar datos de eventos en un host de Windows, donde WinCollect recopila eventos para enviarlos a JSA.

El modo WinCollect independiente tiene las siguientes capacidades:

  • Puede configurar cada agente de WinCollect mediante la consola de configuración de WinCollect.

  • Puede actualizar el software WinCollect con el instalador de actualización de software.

  • Almacenamiento de eventos para garantizar que no se elimine ningún evento.

  • Recopila eventos reenviados de suscripciones de Microsoft.

  • Filtra eventos mediante consultas XPath o filtros de exclusión.

  • Admite instalaciones de máquinas virtuales.

  • Envía eventos a JSA mediante TLS Syslog.

  • Cree automáticamente un origen de registro local en el momento de la instalación del agente.

Capacidades de las implementaciones de WinCollect administradas e independientes

Revise la tabla siguiente para comprender qué capacidades están disponibles cuando se usan agentes WinCollect administrados o independientes.

Tabla 1: Capacidades de WinCollect administrado frente a WinCollect independiente

Capacidad

WinCollect administrado

WinCollect independiente

Administración central desde la consola JSA o el host administrado.

No

Creación automática del origen de registro local en el momento de la instalación.

Almacenamiento de eventos para garantizar que no se elimine ningún evento.

Recopila eventos reenviados de suscripciones de Microsoft.

Filtra eventos mediante consultas XPath o filtros de exclusión.

Admite instalaciones de máquinas virtuales

JSA La consola puede enviar actualizaciones de software a los agentes de WinCollect.

No

Reenvía eventos según un horario establecido (Almacenar y Reenviar).

No

Puede configurar cada agente de WinCollect mediante la consola de configuración de WinCollect.

No

Puede actualizar el software de WinCollect con el instalador de actualización de software

No

Disponible con JSA local

Configuración de una implementación de WinCollect administrada

Para una implementación administrada, siga estos pasos:

  1. Comprender los requisitos previos para WinCollect administrado, qué puertos usar, qué hardware se requiere y cómo actualizar. Para obtener más información, vea Requisitos previos de instalación para WinCollect.

  2. Instale la aplicación WinCollect en la consola JSA que se utiliza para supervisar los hosts de Windows. Para obtener más información, consulte Instalación y actualización de la aplicación WinCollect en dispositivos JSA.

  3. Cree un token de autenticación para que los agentes WinCollect administrados puedan intercambiar datos con dispositivos JSA. Para obtener más información, vea Crear un token de autenticación para agentes WinCollect.

  4. Configure un host de destino de reenvío para los datos de origen del registro.

  5. Instale agentes WinCollect administrados en los hosts de Windows. Para obtener más información, consulte una de las siguientes opciones:

  6. Si desea configurar suscripciones a eventos o eventos reenviados, consulte Suscripciones a eventos de Windows para agentes WinCollect.

  7. Si desea usar la interfaz de usuario heredada de origen de registro para agregar de forma masiva orígenes de registro que serán sondeados de forma remota por un único agente de WinCollect, vea Orígenes de registros masivos para la recopilación remota de eventos.

  8. Ajuste los orígenes de registro de WinCollect. Para obtener más información, vea el parámetro Event Rate Tuning Profile en Parámetros de origen de registro de Windows.

  9. Si desea que un agente de WinCollect administrado envíe eventos a varios destinos JSA en caso de que se produzca un error, consulte Agregar varios destinos a los agentes de WinCollect.

Configuración de una implementación independiente de WinCollect

Para una implementación independiente, siga estos pasos:

  1. Comprender los requisitos previos para WinCollect independiente, qué puertos usar, qué hardware se requiere y cómo actualizar. Para obtener más información, vea Requisitos previos de instalación para WinCollect.

  2. Instale agentes WinCollect independientes en los hosts de Windows. Para obtener más información, consulte Instalación del agente WinCollect en un host Windows.

  3. Si desea agregar nuevos orígenes de registro al agente o modificar orígenes de registro existentes, instale la consola de configuración independiente de WinCollect. Para obtener más información, consulte Instalar la consola de configuración o Instalar, actualizar y desinstalar silenciosamente el software WinCollect.

  4. Configure el destino donde los hosts de Windows envían eventos de Windows. Para obtener más información, vea Agregar un destino a la consola de configuración de WinCollect.

  5. Si desea utilizar el agente independiente de WinCollect para recopilar eventos de otros dispositivos mediante el sondeo remoto, cree una credencial en la consola de configuración independiente de WinCollect, de modo que WinCollect pueda iniciar sesión en los dispositivos remotos. Consulte Crear una credencial de WinCollect.

  6. Si desea agregar orígenes de registro adicionales al agente de WinCollect independiente, hágalo mediante la consola de configuración independiente de WinCollect. Para obtener más información, vea Agregar un dispositivo a la consola de configuración de WinCollect.