Добавление комментариев к журналам событий Windows, поставляемым с пересылкой событий Windows (WEF)

Использование WEF вместе с сборщиком WEC не дает возможности добавить эту информацию.

Однако есть альтернативы, но они не идеальны:

• Используйте журналы DHCP-сервера и сопоставьте IP, содержащийся в этих журналах, с тем, который вы бы разрешили при выполнении разрешения DNS в вашем SIEM.
• Используйте эмулированный сервер WEC (создает прослушиватель WinRM), используя NXLog agent enterprise или SYSLOG NG Premium. После этого вы можете настроить указанный запрос, чтобы обогатить события. Для NXLog вы можете дополнить IP и FQDN (не уверен в MAC-адресе): define ADD_AGENT_INFO $agent_ip= host_ip(); $agent_fqdn= hostname_fqdn();
• Используйте выделенный агент на исходных хостах: это противоречит безагентному подходу, но теоретически какое-то агентное решение могло бы добавить эту информацию (Splunk?)
• Используйте базу данных инвентаризации активов и обогатите собранные вами события этими данными

Собственно, зачем вам эта информация в вашем SIEM? Вы имеете в виду конкретные варианты использования?