Message也许显示出我的无知,但是在进入日志系统时,有什么理由不将其与 Windows 事件隔离开来吗?
是否由于本地化/可读性的原因,这些数据由来自其他属性的数据组成,并且可以在不丢失重要数据的情况下被丢弃?
我不知道这里是否适合阅读,但是这似乎指向那个案例?
范围:
只关心 Microsoft 事件。如果某个随机的人理论上可以通过 PowerShell 或其他临时方法在消息字段中用唯一数据编写自己的事件,我就不会关心这些
语境:
采集到日志系统中,字段message会严重占用存储空间。通常,事件含义的详细信息都有详细记录,或者可以在构建工具以在将数据发送到日志系统后公开数据时在本地系统上进行探索,而无需message
谢谢!
答案1
在 IT 安全领域,在将事件收集到 SIEM 中时,禁用“消息”部分的收集可能会很有趣。这将减少传输数据的大小,还将减少收集服务器的负载。
使用 Windows 事件收集器 (WEC) 功能时,可以通过从“渲染文本“(因此带有完整的“消息”)进入优化模式”活动“(没有“消息”)在订阅设置中。如下图“ContentFormat”中所示。
答案2
看起来至少对于预定义事件模式来说,消息字段可以被丢弃。
感谢 josh_p 指出这个博客
以下示例显示了特定事件 ID 的消息字段如何组成:
( Get-WinEvent -ListProvider Microsoft-Windows-GroupPolicy ).Events |
Where-Object {$_.Id -eq 5314}