Назад | Перейти на главную страницу

Как я могу создавать журналы Windows для тестирования?

Я пытаюсь протестировать кое-что из Splunk с моими журналами Windows. Но я хочу быть уверенным в поступающих журналах, чтобы быть уверенным, что веду и удаляю журналы должным образом. Я действительно ищу что-то вроде Windows (7, если возможно) эквивалента logger в unix / linux.

Я нашел EventCreate, но, насколько я могу судить, мне нужно изменить некоторые из моих конфигураций Splunk, чтобы использовать эти данные.

Такое существует?

РЕДАКТИРОВАТЬ

Я должен указать, что я надеюсь писать в журналы системы и / или безопасности. Я понимаю, что такая возможность сопряжена с некоторыми рисками, но надеюсь, что это возможно.

Что ж, не уверен, почему EventCreate вам не подходит. Это будет записано в системный журнал. Вы можете использовать PowerShell, что в значительной степени является новым ответом на любые действия.

Украдено из http://winpowershell.blogspot.com/2006/07/writing-windows-events-using.html

$evt = new-object System.Diagnostics.EventLog("Application")
$evt.Source = "MyEvent"
$infoevent = [System.Diagnostics.EventLogEntryType]::Information
$evt.WriteEntry("My Test Event",$infoevent,70)

Привет, Powershell может записывать события в журнал событий.

Командлет "Write-EventLog"

Не уверен, что вам нужно изначально, но есть механизм ведения журнала Windows. Если вы действительно хотите отправлять журналы Windows на централизованный сервер, посмотрите проект с открытым исходным кодом snare http://www.intersectalliance.com/projects/index.html или лассо на http://open.loglogic.com.

LogLogic Lasso - это устаревшее программное обеспечение. Вы можете собирать и отправлять данные с помощью LogLogic Universal Collector, который представляет собой новую версию платформы сборщика. Попробуйте выполнить несколько из следующих шагов:

  1. Создайте собственный журнал и регистрируйте в нем события, следуя инструкциям Microsoft здесь: https://devblogs.microsoft.com/scripting/how-to-use-powershell-to-write-to-event-logs/

  2. Используйте TIBCO LogLogic UC для сбора этих данных и отправки в SIEM или инструмент анализа для получения аналитических отчетов: https://community.tibco.com/wiki/collecting-custom-windows-application-journals-using-tibco-loglogicr-universal-collector