Quiero habilitar WFP detallado y muy ruidoso incluso para auditorías de paquetes de red. Habrá MUCHOS eventos y tengo curiosidad por saber si hay alguna manera:
- Especifique un diario completamente separado para ellos (no solo un filtro)
- Especifique una fuente de archivo de registro separada (para que no contamine el valor predeterminado)
Respuesta1
Hasta donde yo sé, hayno hay forma de cambiar el registro de destinode un conjunto específico de eventos en un sistema Windows (además, para el registro de eventos de seguridad). Sin embargo, la pregunta que envía plantea otro problema: ¿cómo va a manejar/explorar/correlacionar todos esos eventos de todos sus sistemas Windows? Porque este sería trabajo de un SIEM…
Lo que puedo aconsejar o sugerir:
- Cree una vista personalizada en el Visor de eventos para acceder fácilmente a esos eventos
- Cree un GPO para cambiar el tamaño de registro predeterminado y aumentar la retención de registros
- utilice la función de reenvío de eventos de Windows (WEF) junto con un servidor de recopilador de eventos de Windows (WEC) basado en el enfoque Palantir para recopilar SÓLO los eventos que ha mencionado. Una vez que los eventos se recopilan en el servidor WEC, puede reenviarlos a cualquier SIEM que desee. https://github.com/palantir/windows-event-forwarding
Respuesta2
Sí, puede crear un nuevo registro de eventos con elNuevo registro de eventoscmdlet:
New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dll
[...] El sistema operativo almacena registros de eventos como archivos.
Cuando crea un nuevo registro de eventos, el archivo asociado se almacena en el directorio $env:SystemRoot\System32\Config en la computadora especificada. [...]