配置事件记录器以将所有或特定的 WPF 事件记录到特定的日志源和日志中

Question 1

据我所知，无法更改目标日志Windows 系统上的一组特定事件（此外还有安全事件日志）。但是，您提交的问题引发了另一个问题：您将如何处理/浏览/关联所有 Windows 系统中的所有这些事件？因为这将是 SIEM 的工作……

我可以提出以下建议或建议：

在事件查看器中创建自定义视图，以便轻松访问这些事件
创建 GPO 以更改默认日志大小并增加日志保留
使用 Windows 事件转发 (WEF) 功能以及基于 Palantir 方法的 Windows 事件收集器 (WEC) 服务器来仅收集您提到的事件。一旦在 WEC 服务器上收集了事件，您就可以将其转发到您想要的任何 SIEM。https://github.com/palantir/windows-event-forwarding

Answer

据我所知，无法更改目标日志Windows 系统上的一组特定事件（此外还有安全事件日志）。但是，您提交的问题引发了另一个问题：您将如何处理/浏览/关联所有 Windows 系统中的所有这些事件？因为这将是 SIEM 的工作……

我可以提出以下建议或建议：

在事件查看器中创建自定义视图，以便轻松访问这些事件
创建 GPO 以更改默认日志大小并增加日志保留
使用 Windows 事件转发 (WEF) 功能以及基于 Palantir 方法的 Windows 事件收集器 (WEC) 服务器来仅收集您提到的事件。一旦在 WEC 服务器上收集了事件，您就可以将其转发到您想要的任何 SIEM。https://github.com/palantir/windows-event-forwarding

Question 2

是的，您可以使用新事件日志命令：

New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dll

[...]操作系统将事件日志存储为文件。

当您创建新的事件日志时，关联文件将存储在指定计算机上的 $env:SystemRoot\System32\Config 目录中。[...]

Answer

是的，您可以使用新事件日志命令：

New-EventLog -source TestApp -LogName TestLog -MessageResourceFile C:\Test\TestApp.dll

[...]操作系统将事件日志存储为文件。

当您创建新的事件日志时，关联文件将存储在指定计算机上的 $env:SystemRoot\System32\Config 目录中。[...]

相关内容