Я хочу включить очень шумный verbose WFP даже для аудита сетевых пакетов. Будет МНОГО событий, и мне интересно, есть ли способ:
- Укажите для них совершенно отдельный журнал (не просто фильтр)
- Укажите отдельный источник файла журнала (чтобы он не засорял данные по умолчанию)
решение1
Насколько я знаю, естьнет возможности изменить журнал назначенияопределенного набора событий в системе Windows (более того, для журнала событий безопасности). Однако вопрос, который вы задаете, поднимает другую проблему: как вы собираетесь обрабатывать/просматривать/соотносить все эти события из всех ваших систем Windows? Потому что это будет работой SIEM ...
Что я могу посоветовать или предложить:
- Создайте пользовательское представление в средстве просмотра событий, чтобы легко получить доступ к этим событиям.
- Создайте объект групповой политики для изменения размера журнала по умолчанию и увеличения срока хранения журнала.
- используйте функцию Windows Event Forwarding (WEF) вместе с сервером Windows Event Collector (WEC) на основе подхода Palantir, чтобы собирать ТОЛЬКО те события, которые вы упомянули. После того, как события будут собраны на сервере WEC, вы можете переслать их в любую SIEM, которую захотите.https://github.com/palantir/windows-event-forwarding
решение2
Да, вы можете создать новый журнал событий с помощьюНовый-EventLogкомандлет:
New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dll
[...]Операционная система хранит журналы событий в виде файлов.
При создании нового журнала событий связанный с ним файл сохраняется в каталоге $env:SystemRoot\System32\Config на указанном компьютере. [...]