我想啟用非常吵雜的詳細 WFP,甚至用於網路封包審核。將會有很多事件,我很好奇是否有辦法:
- 為它們指定一個完全獨立的日誌(不僅僅是過濾器)
- 指定一個單獨的日誌檔案來源(這樣就不會污染預設值)
答案1
據我所知,有無法更改目標日誌Windows 系統上的一組特定事件(此外還包括安全事件日誌)。然而,您提交的問題引發了另一個問題:您將如何處理/瀏覽/關聯所有 Windows 系統中的所有這些事件?因為這將是 SIEM 的工作......
我可以建議或建議:
- 在事件檢視器中建立自訂視圖以便輕鬆存取這些事件
- 建立 GPO 以變更預設日誌大小並增加日誌保留
- 將 Windows 事件轉送 (WEF) 功能與基於 Palantir 方法的 Windows 事件收集器 (WEC) 伺服器結合使用,以便僅收集您所提及的事件。在 WEC 伺服器上收集事件後,您可以將其轉發到您想要的任何 SIEM。
答案2
是的,您可以使用以下命令建立新的事件日誌新事件日誌小命令:
New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dll
[...]作業系統將事件日誌儲存為檔案。
建立新的事件日誌時,關聯的檔案會儲存在指定電腦上的 $env:SystemRoot\System32\Config 目錄中。 [...]