我想启用非常嘈杂的详细 WFP,即使用于网络数据包审计。将会有很多事件,我很好奇是否有办法:
- 为它们指定一个完全独立的日志(不仅仅是过滤器)
- 指定单独的日志文件源(这样它就不会污染默认值)
答案1
据我所知,无法更改目标日志Windows 系统上的一组特定事件(此外还有安全事件日志)。但是,您提交的问题引发了另一个问题:您将如何处理/浏览/关联所有 Windows 系统中的所有这些事件?因为这将是 SIEM 的工作……
我可以提出以下建议或建议:
- 在事件查看器中创建自定义视图,以便轻松访问这些事件
- 创建 GPO 以更改默认日志大小并增加日志保留
- 使用 Windows 事件转发 (WEF) 功能以及基于 Palantir 方法的 Windows 事件收集器 (WEC) 服务器来仅收集您提到的事件。一旦在 WEC 服务器上收集了事件,您就可以将其转发到您想要的任何 SIEM。https://github.com/palantir/windows-event-forwarding
答案2
是的,您可以使用新事件日志命令:
New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dll
[...]操作系统将事件日志存储为文件。
当您创建新的事件日志时,关联文件将存储在指定计算机上的 $env:SystemRoot\System32\Config 目录中。[...]