# Windows-Kollektor hinzufügen :computer-mouse: Klicke auf :plus: **Kollektor hinzufügen** in der rechten oberen Ecke der [Windows-Kollektoren-Übersicht](/docs/manual/bedienung-der-plattform/siem/host-kollektoren/windows-ereignisprotokoll.md#windows-ereignisprotokoll-ubersicht), um einen neuen Windows-Kollektor zu erstellen. Es öffnet sich die Ansicht **SIEM** → **Windows-Ereignisprotokoll** → **Hinzufügen**.
:computer-mouse: Klicke auf **Kollektor hinzufügen**, nachdem du alle Einstellungen vorgenommen hast, um den neuen Kollektor zu speichern und erstellen. :computer-mouse: Klicke auf **Zurück**, um zurück zur Listenübersicht zu gelangen. {% hint style="danger" %} **Bitte beachte**: Verlässt du diese Ansicht, ohne auf **Kollektor hinzufügen** zu klicken, sind alle vorgenommenen Einstellungen unwiederbringlich verloren! {% endhint %} *** ## Grundeinstellungen
Folgende Optionen stehen zur Verfügung:
OptionBeschreibung
NameGib dem Kollektor einen aussagekräftigen Namen.
Beschreibung

Beschreibe den Kollektor genauer.

Dieses Feld ist optional.

Aktiviert

Aktiviere den Kollektor, damit er Roh-Logs empfangen und an das SIEM weiterleiten kann.

Diese Option ist standardmäßig aktiviert.

:computer-mouse: Setze einen Haken in die Checkbox :square: neben Aktiviert, um den Kollektor zu aktivieren, oder entferne den Haken aus der Checkbox :square-check: um den Kollektor zu deaktivieren.

*** ## Zugeordnete Referenzen Hier kannst du definieren, für welche Hosts oder Gruppen von Hosts die vorgenommenen Einstellungen gelten sollen.
Folgende Optionen stehen zur Verfügung:
OptionBeschreibung
Hosts

Lege Hosts fest, für die die vorgenommenen Einstellungen gelten sollen.

:computer-mouse: Klicke dazu in das Feld Hosts, um eine Liste aller verfügbaren Hosts auszuklappen, und wähle einen oder mehrere Hosts aus. Oder nutze die Freitexteingabe, um Hosts in der Liste schneller zu finden.

:computer-mouse: Klicke auf das Entfernen-Symbol :circle-xmark: neben einem hinzugefügten Host, um ihn aus dem Feld Hosts zu entfernen.

Tag-Verknüpfung

Lege fest, wie viele Tags ein zugeordneter Host enthalten muss, damit die Einstellungen für ihn gelten.

Die standardmäßig ausgewählte Tag-Verknüpfung ist Alle Tags sind bei der Referenz vorhanden.

:computer-mouse: Klicke in das Feld Tag-Verknüpfung, um eine Liste aller verfügbaren Optionen auszuklappen.

Folgende Optionen stehen zur Verfügung:

  • Alle Tags sind bei der Referenz vorhanden: Ein zugeordneter Host muss alle angegebenen Tags enthalten, damit die Einstellungen für ihn gelten.
  • Mindestens einer der angegebenen Tags ist vorhanden: Ein zugeordneter Host muss mindestens einen der angegebenen Tags enthalten, damit die Einstellungen für ihn gelten.
Tags

Lege Tags für Gruppen von Hosts fest, für die die vorgenommenen Einstellungen gelten sollen.

:computer-mouse: Klicke dazu in das Feld Tags, um eine Liste aller verfügbaren Tags auszuklappen, und wähle einen oder mehrere Tags aus. Oder nutze die Freitexteingabe, um Tags in der Liste schneller zu finden.

:computer-mouse: Klicke auf das Entfernen-Symbol :circle-xmark: neben einem hinzugefügten Tag, um ihn aus dem Feld Tags zu entfernen.

### Ausgeschlossene Referenzen Hier kannst du definieren, welche Hosts oder Gruppen von Hosts von den vorgenommenen Einstellung explizit ausgenommen werden sollen. {% hint style="info" %} Die Angabe von ausgeschlossenen Hosts ist optional. {% endhint %} :computer-mouse: Klicke auf :plus: **Ausnahmen definieren** neben **Zugeordnete Hosts**, um die Optionen für **Ausgeschlossene Hosts** anzuzeigen.
:gear: Nimm alle Einstellungen wie bei der Angabe eines zugeordneten Hosts vor. *** ## Standard Kanäle Wähle Standard-Windows-Logs als Log-Quelle für den Kollektor aus.
OptionBeschreibung
Kanäle

Lege fest, aus welchen Standard-Windows-Logs der Kollektor Roh-Daten sammeln und an das Enginsight SIEM weiterleiten soll.

:computer-mouse: Klicke dazu in das Feld Standardkanäle, um eine Liste aller verfügbaren Optionen auszuklappen.

Folgende Optionen stehen zur Verfügung:

  • Windows Application Logs: Der Kollektor sammelt Roh-Daten aus dem Windows-Anwendungsprotokoll.
  • Windows System Logs: Der Kollektor sammelt Roh-Daten aus dem Windows-Systemprotokoll.
  • Windows Security Logs: Der Kollektor sammelt Roh-Daten aus dem Windows-Sicherheitsprotokoll.
  • Windows PowerShell Logs: Der Kollektor sammelt Roh-Daten aus den Windows-PowerShell-Protokollen.
  • Windows Defender: Der Kollektor sammelt Roh-Daten aus den Ereignisprotokollen von Windows Defender.
  • Sysmon: Der Kollektor sammelt Roh-Daten aus den Ereignisprotokollen des System Monitor-Dienstes (Sysmon).
Third-Party

:eye: Diese Option ist nur sichtbar, wenn du im Feld Standard Kanäle die Option Sysmon gewählt hast.

Bestätige, dass du den Lizenzbedingungen des Drittanbieters für Sysmon zustimmst.

Bitte beachte: Die Zustimmung zu den genannten Lizenzbedingungen ist obligatorisch, um den System Monitor (Sysmon)-Dienst nutzen zu dürfen. Wenn du die Option Sysmon aktivierst, überschreiben wir möglicherweise deine bestehende Sysmon-Konfiguration.

:computer-mouse: Setze einen Haken in die Checkbox :square: neben Third-Party, um die Option zu aktivieren, oder entferne den Haken aus der Checkbox :square-check: um die Option zu deaktivieren.

:computer-mouse: Klicke auf :plus: **Weiteren Kanal hinzufügen**, um ein weiteres Eingabefeld anzuzeigen, in dem du eine zusätzliche Standard-Log-Quelle angeben kannst. :computer-mouse: Klicke auf das **Löschen**-Symbol :trash: neben einem hinzugefügten Standard-Kanal, um die entsprechende Log-Quelle wieder zu entfernen. *** ## Weitere Kanäle Gib weitere betriebssystem- und herstellerspezifische Logs als Log-Quelle für den Kollektor an, bspw. Microsoft Hyper-V oder Microsoft Exchange. :computer-mouse: Klicke dazu auf :plus: **Weiteren Kanal hinzufügen**, um ein Eingabefeld anzuzeigen, in dem du eine Log-Quelle angeben kannst.
OptionBeschreibung
Weitere KanäleGib den Namen der Log-Quelle für den Kollektor exakt so an, wie er in der Windows-Ereignisanzeige angegeben wird.
Systemsprache verwenden

Erlaube die Verwendung der auf dem Host eingestellten Systemsprache zur Identifizierung und Verarbeitung nicht-englischsprachiger Log-Ereignisse.

Diese Option ist nicht standardmäßig aktiviert.

Bitte beachte: Aktiviere diese Option nur, wenn auf dem Windows-Host Ereignisse sichtbar sind, im SIEM jedoch keine Einträge angezeigt werden. In diesem Fall kann die Erfassung in der Systemsprache helfen, fehlende Log-Einträge zu identifizieren. Beachte jedoch, dass dies zu Übersetzungsinkonsistenzen führen und das Reporting erschweren kann.

:computer-mouse: Setze einen Haken in die Checkbox :square: neben Systemsprache verwenden um die Option zu aktivieren oder entferne den Haken aus der Checkbox :square-check: um die Option zu deaktivieren.

:computer-mouse: Klicke auf :plus: **Weiteren Kanal hinzufügen**, um ein weiteres Eingabefeld anzuzeigen, in dem du eine zusätzliche Log-Quelle angeben kannst. :computer-mouse: Klicke auf das **Löschen**-Symbol :trash: neben einem hinzugefügten Kanal, um die entsprechende Log-Quelle wieder zu entfernen. *** ## Erweiterte Einstellungen :eye: Dieser Bereich ist nur sichtbar, wenn du unter **Standard Kanäle** die Optionen [Windows Security Logs](#option-windows-security-logs) oder [Sysmon](#option-sysmon) ausgewählt hast. {% tabs %} {% tab title="Option: Windows Security Logs" %} :eye: Diese Einstellung ist nur sichtbar, wenn du unter **Standard Kanäle** die Option **Windows Security Logs** ausgewählt hast.
Erlaube die Deaktivierung der Erkennung von Windows-Ereignissen mit der ID 4663, um Leistungs- und Speicherressourcen zu schonen. Dadurch wird der Zugriff auf Dateien und Ordner auf Windows-Systemen nicht über das SIEM indexiert. {% hint style="info" %} Diese Option ist standardmäßig aktiviert. {% endhint %} :computer-mouse: Setze einen Haken in die Checkbox :square: neben **Objektzugriffsprotokolle deaktivieren**, um die Option zu aktivieren, oder entferne den Haken aus der Checkbox :square-check: um die Option zu deaktivieren. {% endtab %} {% tab title="Option: Sysmon" %} :eye: Diese Einstellung ist nur sichtbar, wenn du unter **Standard Kanäle** die Option **Sysmon** ausgewählt hast.
OptionBeschreibung
Benutzerdefinierte Sysmon -Konfiguration verwenden

Erlaube die Überschreibung der vom System vorgegebenen Sysmon-Konfiguration durch eine eigene Sysmon-Konfiguration.

Diese Option ist nicht standardmäßig aktiviert.

:computer-mouse: Setze einen Haken in die Checkbox :square: neben Benutzerdefinierte Sysmon-Konfiguration verwenden, um die Option zu aktivieren, oder entferne den Haken aus der Checkbox :square-check: um die Option zu deaktivieren.

Code-Feld

:eye: Diese Option ist nur sichtbar, wenn du die Option Benutzerdefinierte Sysmon-Konfiguration verwenden aktiviert hast.

Gib eine benutzerdefinierte Sysmon-Konfiguration im XML-Format ein, um die vom System vorgegebene Standardkonfiguration zu überschreiben.

Werden für dieselbe Host-Gruppe mehrere benutzerdefinierte Sysmon-Konfigurationen angelegt, wird immer die zuerst erstellte Konfiguration angewendet.

Bitte beachte: Eine fehlerhafte oder unvollständige Konfiguration kann dazu führen, dass kritische Ereignisse nicht erfasst werden oder das SIEM mit einer zu großen Menge an Logs belastet wird!

{% endtab %} {% endtabs %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.enginsight.com/docs/manual/bedienung-der-plattform/siem/host-kollektoren/windows-ereignisprotokoll/windows-kollektor-hinzufugen.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.