모든 또는 특정 WPF 이벤트를 특정 로그 소스 및 저널에 기록하도록 이벤트 로거 구성

Question 1

내가 아는 한에는대상 로그를 변경할 방법이 없습니다Windows 시스템의 특정 이벤트 세트(또한 보안 이벤트 로그). 그러나 귀하가 제출한 질문은 또 다른 문제를 야기합니다. 모든 Windows 시스템의 모든 이벤트를 어떻게 처리/탐색/상호 연관시킬 예정입니까? 왜냐하면 이것은 SIEM의 일이 될 것이기 때문입니다.

내가 조언하거나 제안할 수 있는 것:

해당 이벤트에 쉽게 액세스하려면 이벤트 뷰어에서 사용자 정의 보기를 만듭니다.
기본 로그 크기를 변경하고 로그 보존을 늘리려면 GPO를 만드세요.
언급한 이벤트만 수집하려면 Palantir 접근 방식을 기반으로 하는 WEC(Windows 이벤트 수집기) 서버와 함께 WEF(Windows 이벤트 전달) 기능을 사용하세요. WEC 서버에서 이벤트가 수집되면 원하는 SIEM으로 전달할 수 있습니다.https://github.com/palantir/windows-event-forwarding

Answer

내가 아는 한에는대상 로그를 변경할 방법이 없습니다Windows 시스템의 특정 이벤트 세트(또한 보안 이벤트 로그). 그러나 귀하가 제출한 질문은 또 다른 문제를 야기합니다. 모든 Windows 시스템의 모든 이벤트를 어떻게 처리/탐색/상호 연관시킬 예정입니까? 왜냐하면 이것은 SIEM의 일이 될 것이기 때문입니다.

내가 조언하거나 제안할 수 있는 것:

해당 이벤트에 쉽게 액세스하려면 이벤트 뷰어에서 사용자 정의 보기를 만듭니다.
기본 로그 크기를 변경하고 로그 보존을 늘리려면 GPO를 만드세요.
언급한 이벤트만 수집하려면 Palantir 접근 방식을 기반으로 하는 WEC(Windows 이벤트 수집기) 서버와 함께 WEF(Windows 이벤트 전달) 기능을 사용하세요. WEC 서버에서 이벤트가 수집되면 원하는 SIEM으로 전달할 수 있습니다.https://github.com/palantir/windows-event-forwarding

Question 2

예, 다음을 사용하여 새 이벤트 로그를 생성할 수 있습니다.새 이벤트로그cmdlet:

New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dll

[...]운영 체제는 이벤트 로그를 파일로 저장합니다.

새 이벤트 로그를 생성하면 관련 파일이 지정된 컴퓨터의 $env:SystemRoot\System32\Config 디렉터리에 저장됩니다. [...]

Answer

예, 다음을 사용하여 새 이벤트 로그를 생성할 수 있습니다.새 이벤트로그cmdlet:

New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dll

[...]운영 체제는 이벤트 로그를 파일로 저장합니다.

새 이벤트 로그를 생성하면 관련 파일이 지정된 컴퓨터의 $env:SystemRoot\System32\Config 디렉터리에 저장됩니다. [...]

모든 또는 특정 WPF 이벤트를 특정 로그 소스 및 저널에 기록하도록 이벤트 로거 구성

답변1

답변2

관련 정보