注释 Windows 事件转发 (WEF) 附带的 Windows 事件日志

注释 Windows 事件转发 (WEF) 附带的 Windows 事件日志

寻找一种方法来注释 Windows 事件转发附带的 Windows 事件日志 - 具体来说,寻找用原始系统的 MAC 地址标记每个日志的方法。希望在 WEF 内部完成此操作,但似乎不可能。

有什么想法可以实现这一点吗?

答案1

将 WEF 与 WEC 收集器一起使用无法添加此信息。

然而,也存在一些并不完美的替代方案:

  • 使用您的 DHCP 服务器日志,并将这些日志中包含的 IP 与您在 SIEM 中执行 DNS 解析时解析的 IP 关联起来
  • 使用模拟 WEC 服务器(创建 WinRM 侦听器),使用 NXLog 代理企业版或 SYSLOG NG Premium。安装完成后,您可以调整指定的查询以丰富事件。对于 NXLog,您可以丰富 IP 和 FQDN(不确定 MAC 地址): define ADD_AGENT_INFO $agent_ip= host_ip(); $agent_fqdn= hostname_fqdn();
  • 在源主机上使用专用代理:这违背了无代理方法,但理论上某些代理解决方案可以添加此信息(Splunk?)
  • 使用资产清单数据库并用此数据丰富您收集的事件

实际上,您为什么希望在 SIEM 中包含这些信息?您是否考虑过特定​​的用例?

相关内容