将snare替换为powershell,推送事件日志
将snare替换为powershell,推送事件日志
提问于 2017-03-11 00:54:19
有没有办法使用powershell将事件日志推送到SIEM?我知道我们可以“获取”事件日志,但我们正在寻找一种“无代理”的方法来将日志推送到ElasticStack/Arcsight SIEM。
我们有一个可以“获取”事件日志的-
#$cred = Get-Credential
#$events = Get-WinEvent -Computer localhost -Credential $cred -FilterHashtable @{logname="Security"; id=4688} -MaxEvents 25
$events = Get-WinEvent -Computer localhost -FilterHashtable @{logname="Security"; id=4688} -MaxEvents 20
#$eventXML = [xml]$events[0].ToXml() # This was for Testing
#$eventXML.Event.EventData.Data # This was for Testing
$outputcol = @()
ForEach ($Event in $Events ) {
$eventXML = [xml]$Event.ToXml()
if ($eventXML.Event.EventData.Data[8].'#text' -like "*") {
$output = New-Object PSobject
$output | Add-Member -MemberType NoteProperty -Name Time -value $Event.TimeCreated
$output | Add-Member -MemberType NoteProperty -Name Event -value $Event.ID
$output | Add-Member -MemberType NoteProperty -Name Computer -Value $Event.MachineName
#$output | Add-Member -MemberType NoteProperty -Name Computer $eventXML.Event.EventData.Data[1].'#text' #Computer
$output | Add-Member -MemberType NoteProperty -Name Command $eventXML.Event.EventData.Data[8].'#text' #CommandLine
$outputcol += $output
}
}
$outputcol | Format-table -auto | Tee-Object "C:\Users\eventlogs.txt"但是有没有办法通过AD或WMI来设置呢?我们正在尝试避免在工作站上安装另一个代理。
谢谢!
回答 1
Stack Overflow用户
发布于 2017-03-12 02:38:40
OK不想把它留空或删除,以防其他人来看...看起来这是可能的--来自spiceworks上的一篇文章,感谢David Auth
两个GPO会帮你搞定的,儿子!为了滚动到$3rdparty_SIEM,我在本地应用程序日志中为应用程序创建了一个订阅,在本地系统日志中创建了系统,并在转发事件中创建了Sec,因为...Windows?然后是一个用于收集器的GPO和一个用于源的GPO,同时定义和启用Windows事件日志收集器服务(您不必多说!),然后是IP筛选器,然后将网络服务添加到受限制的组,以便捕获Sec日志。很简单!
...if如果我发现了什么,我会把它贴在这里。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/42723706
复制相关文章
相似问题
腾讯云开发者
