Quero ativar o WFP detalhado e muito barulhento, mesmo para auditorias de pacotes de rede. Haverá MUITOS eventos e estou curioso para saber se existe uma maneira:
- Especifique um diário completamente separado para eles (não apenas um filtro)
- Especifique uma fonte de arquivo de log separada (para não poluir o padrão)
Responder1
Pelo que eu sei, existenão há como alterar o log de destinode um conjunto específico de eventos em um sistema Windows (além do log de eventos de segurança). No entanto, a pergunta que você envia está levantando outro problema: como você irá manipular/navegar/correlacionar todos esses eventos de todos os seus sistemas Windows? Porque esse seria o trabalho de um SIEM...
O que posso aconselhar ou sugerir:
- Crie uma visualização personalizada no Visualizador de Eventos para acessar facilmente esses eventos
- Crie um GPO para alterar o tamanho padrão do log e aumentar a retenção do log
- use o recurso Windows Event Forwarding (WEF) junto com um servidor Windows Event Collector (WEC) baseado na abordagem Palantir para coletar SOMENTE os eventos que você mencionou. Depois que os eventos forem coletados no servidor WEC, você poderá encaminhá-los para qualquer SIEM que desejar.https://github.com/palantir/windows-event-forwarding
Responder2
Sim, você pode criar um novo log de eventos com oNovo registro de eventoscmdlet:
New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dll
[...]O sistema operacional armazena logs de eventos como arquivos.
Ao criar um novo log de eventos, o arquivo associado é armazenado no diretório $env:SystemRoot\System32\Config no computador especificado. [...]