네트워크 패킷 감사에도 매우 시끄러운 장황한 WFP를 활성화하고 싶습니다. 많은 이벤트가 있을 예정인데 방법이 있는지 궁금합니다.
- 필터뿐만 아니라 완전히 별도의 저널을 지정합니다.
- 별도의 로그 파일 소스를 지정합니다(그래서 기본값을 오염시키지 않습니다).
답변1
내가 아는 한에는대상 로그를 변경할 방법이 없습니다Windows 시스템의 특정 이벤트 세트(또한 보안 이벤트 로그). 그러나 귀하가 제출한 질문은 또 다른 문제를 야기합니다. 모든 Windows 시스템의 모든 이벤트를 어떻게 처리/탐색/상호 연관시킬 예정입니까? 왜냐하면 이것은 SIEM의 일이 될 것이기 때문입니다.
내가 조언하거나 제안할 수 있는 것:
- 해당 이벤트에 쉽게 액세스하려면 이벤트 뷰어에서 사용자 정의 보기를 만듭니다.
- 기본 로그 크기를 변경하고 로그 보존을 늘리려면 GPO를 만드세요.
- 언급한 이벤트만 수집하려면 Palantir 접근 방식을 기반으로 하는 WEC(Windows 이벤트 수집기) 서버와 함께 WEF(Windows 이벤트 전달) 기능을 사용하세요. WEC 서버에서 이벤트가 수집되면 원하는 SIEM으로 전달할 수 있습니다.https://github.com/palantir/windows-event-forwarding
답변2
예, 다음을 사용하여 새 이벤트 로그를 생성할 수 있습니다.새 이벤트로그cmdlet:
New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dll
[...]운영 체제는 이벤트 로그를 파일로 저장합니다.
새 이벤트 로그를 생성하면 관련 파일이 지정된 컴퓨터의 $env:SystemRoot\System32\Config 디렉터리에 저장됩니다. [...]