Ich möchte sehr lautes, ausführliches WFP auch für Netzwerkpaketprüfungen aktivieren. Es wird VIELE Ereignisse geben und ich bin gespannt, ob es eine Möglichkeit gibt:
- Geben Sie ein völlig separates Journal für sie an (nicht nur einen Filter).
- Geben Sie eine separate Protokolldateiquelle an (damit die Standarddatei nicht verfälscht wird).
Antwort1
Soweit ich weiß, gibt eskeine Möglichkeit, das Zielprotokoll zu änderneiner bestimmten Reihe von Ereignissen auf einem Windows-System (außerdem für das Sicherheitsereignisprotokoll). Die von Ihnen gestellte Frage wirft jedoch ein weiteres Problem auf: Wie werden Sie all diese Ereignisse von all Ihren Windows-Systemen verarbeiten/durchsuchen/korrelieren? Denn das wäre die Aufgabe eines SIEM ...
Was ich raten oder vorschlagen kann:
- Erstellen Sie eine benutzerdefinierte Ansicht in der Ereignisanzeige, um einfach auf diese Ereignisse zuzugreifen
- Erstellen Sie ein Gruppenrichtlinienobjekt, um die Standardprotokollgröße zu ändern und die Protokollaufbewahrung zu erhöhen
- Verwenden Sie die Funktion „Windows Event Forwarding“ (WEF) zusammen mit einem Windows Event Collector (WEC)-Server basierend auf dem Palantir-Ansatz, um NUR die von Ihnen genannten Ereignisse zu erfassen. Sobald die Ereignisse auf dem WEC-Server erfasst sind, können Sie sie an jedes gewünschte SIEM weiterleiten.https://github.com/palantir/windows-event-forwarding
Antwort2
Ja, Sie können ein neues Ereignisprotokoll erstellen mit demNeues EreignisprotokollCmdlet:
New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dll
[…]Das Betriebssystem speichert Ereignisprotokolle als Dateien.
Wenn Sie ein neues Ereignisprotokoll erstellen, wird die zugehörige Datei im Verzeichnis $env:SystemRoot\System32\Config auf dem angegebenen Computer gespeichert. [...]