用powershell替换圈套,推事件日志
问题描述:
有没有办法使用powershell将事件日志推送到SIEM?我有这个我们可以'GET'事件日志,但我们正在寻找'无代理'的方式将日志推送到ElasticStack/Arcsight SIEM。用powershell替换圈套,推事件日志
我们有这样的,我们可以“获取”事件日志 -
#$cred = Get-Credential
#$events = Get-WinEvent -Computer localhost -Credential $cred -FilterHashtable @{logname="Security"; id=4688} -MaxEvents 25
$events = Get-WinEvent -Computer localhost -FilterHashtable @{logname="Security"; id=4688} -MaxEvents 20
#$eventXML = [xml]$events[0].ToXml() # This was for Testing
#$eventXML.Event.EventData.Data # This was for Testing
$outputcol = @()
ForEach ($Event in $Events) {
$eventXML = [xml]$Event.ToXml()
if ($eventXML.Event.EventData.Data[8].'#text' -like "*") {
$output = New-Object PSobject
$output | Add-Member -MemberType NoteProperty -Name Time -value $Event.TimeCreated
$output | Add-Member -MemberType NoteProperty -Name Event -value $Event.ID
$output | Add-Member -MemberType NoteProperty -Name Computer -Value $Event.MachineName
#$output | Add-Member -MemberType NoteProperty -Name Computer $eventXML.Event.EventData.Data[1].'#text' #Computer
$output | Add-Member -MemberType NoteProperty -Name Command $eventXML.Event.EventData.Data[8].'#text' #CommandLine
$outputcol += $output
}
}
$outputcol | Format-table -auto | Tee-Object "C:\Users\eventlogs.txt"
但是,有没有办法通过AD或WMI设置呢?我们正试图避免在工作站上安装另一个代理。
谢谢!
答
OK不想离开这个空白或万一别人来寻找删除...看起来这是可能的 - 从Spiceworks还在感谢后大卫验证
两个GPO中会得到你完成了,儿子!为了汇入$ 3rdparty_SIEM,我为App创建了一个订阅到本地应用程序日志,Sys创建了本地Sys日志,并且创建了转发事件,因为... Windows ?.然后为收集者和源代码创建一个GPO,它们都定义并启用Windows事件日志收集器服务(不要说!),然后是IP筛选器,并将网络服务添加到受限制的组以便获取Sec日志。够简单!
...如果我再发现或陷入困境,我会在这里发布。