ネットワーク パケット監査でも、非常にノイズの多い詳細な WFP を有効にしたいと考えています。イベントが大量に発生するので、方法があるかどうか知りたいです。
- 完全に別のジャーナルを指定する(フィルターだけではなく)
- 別のログファイルソースを指定します(デフォルトを汚染しないようにするため)
答え1
私の知る限りでは宛先ログを変更する方法はありませんWindows システム上の特定のイベント セット (セキュリティ イベント ログ用) の監視。ただし、この質問によって別の問題が発生します。すべての Windows システムからのすべてのイベントをどのように処理/参照/相関させるのでしょうか。これは SIEM の仕事です...
私がアドバイスまたは提案できること:
- イベントビューアでカスタムビューを作成し、それらのイベントに簡単にアクセスできるようにします。
- デフォルトのログ サイズを変更し、ログの保持期間を延長するための GPO を作成する
- Palantir アプローチに基づく Windows イベント コレクター (WEC) サーバーと Windows イベント転送 (WEF) 機能を併用して、言及したイベントのみを収集します。イベントが WEC サーバーで収集されたら、任意の SIEM に転送できます。https://github.com/palantir/windows-event-forwarding
答え2
はい、新しいイベントログを作成するには、新しいイベントログコマンドレット:
New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dll
[...] オペレーティング システムはイベント ログをファイルとして保存します。
新しいイベント ログを作成すると、関連付けられたファイルは、指定されたコンピューターの $env:SystemRoot\System32\Config ディレクトリに保存されます。 [...]