我正在尝试使用我的 Windows 日志测试一些 Splunk 的东西。但我想确保收到的日志安全,这样我才能确保我正确地保存和丢弃日志。我真正想要的是类似于 Windows(如果可能的话是 7)上 unix/linux 上的“logger”的东西。
我找到了 EventCreate,但据我所知,我需要更改一些 Splunk 配置才能使用该数据。
这样的事情存在吗?
编辑
我应该说明一下,我希望写入系统和/或安全日志。我知道这样做会带来一些风险,但我希望这是可能的。
答案1
嗯,不知道为什么 EventCreate 对你不起作用。它会写入系统日志。你可以使用 PowerShell,这几乎是做任何事情的新答案。
被盗 http://winpowershell.blogspot.com/2006/07/writing-windows-events-using.html
$evt = new-object System.Diagnostics.EventLog("Application")
$evt.Source = "MyEvent"
$infoevent = [System.Diagnostics.EventLogEntryType]::Information
$evt.WriteEntry("My Test Event",$infoevent,70)
答案2
嘿,Powershell 可以将事件写入事件日志。
命令行开关“Write-EventLog”
答案3
不确定你最初需要什么,但有一个 Windows 日志记录机制。如果你真正想要做的是将 Windows 日志发送到集中式服务器,请查看 snare 开源项目http://www.intersectalliance.com/projects/index.html或套索于http://open.loglogic.com。
答案4
LogLogic Lasso 是一款有点老旧的软件。您可以使用 LogLogic Universal Collector(收集器框架的新版本)收集和发送数据。请尝试以下步骤:
使用 Microsoft 提供的步骤创建自定义日志并将事件记录到其中:https://devblogs.microsoft.com/scripting/how-to-use-powershell-to-write-to-event-logs/
使用 TIBCO LogLogic UC 收集这些数据并发送到 SIEM 或分析工具以获取分析报告:https://community.tibco.com/wiki/collecting-custom-windows-application-journals-using-tibco-loglogicr-universal-collector