注释 Windows 事件转发 (WEF) 附带的 Windows 事件日志

Question

将 WEF 与 WEC 收集器一起使用无法添加此信息。

然而，也存在一些并不完美的替代方案：

使用您的 DHCP 服务器日志，并将这些日志中包含的 IP 与您在 SIEM 中执行 DNS 解析时解析的 IP 关联起来
使用模拟 WEC 服务器（创建 WinRM 侦听器），使用 NXLog 代理企业版或 SYSLOG NG Premium。安装完成后，您可以调整指定的查询以丰富事件。对于 NXLog，您可以丰富 IP 和 FQDN（不确定 MAC 地址）： define ADD_AGENT_INFO $agent_ip= host_ip(); $agent_fqdn= hostname_fqdn();
在源主机上使用专用代理：这违背了无代理方法，但理论上某些代理解决方案可以添加此信息（Splunk？）
使用资产清单数据库并用此数据丰富您收集的事件

实际上，您为什么希望在 SIEM 中包含这些信息？您是否考虑过特定的用例？

Answer 1

将 WEF 与 WEC 收集器一起使用无法添加此信息。

然而，也存在一些并不完美的替代方案：

使用您的 DHCP 服务器日志，并将这些日志中包含的 IP 与您在 SIEM 中执行 DNS 解析时解析的 IP 关联起来
使用模拟 WEC 服务器（创建 WinRM 侦听器），使用 NXLog 代理企业版或 SYSLOG NG Premium。安装完成后，您可以调整指定的查询以丰富事件。对于 NXLog，您可以丰富 IP 和 FQDN（不确定 MAC 地址）： define ADD_AGENT_INFO $agent_ip= host_ip(); $agent_fqdn= hostname_fqdn();
在源主机上使用专用代理：这违背了无代理方法，但理论上某些代理解决方案可以添加此信息（Splunk？）
使用资产清单数据库并用此数据丰富您收集的事件

实际上，您为什么希望在 SIEM 中包含这些信息？您是否考虑过特定的用例？

相关内容