用powershell替换snare,推送事件日志

时间:2017-03-10 16:54:19

标签: powershell wmi

有没有办法使用powershell将事件日志推送到SIEM?我有这个,我们可以' GET'事件日志,但我们正在寻找一个无代理人的'将日志推送到ElasticStack / Arcsight SIEM的方法。

我们有这个,我们可以'得到'事件日志 -

#$cred = Get-Credential
#$events = Get-WinEvent -Computer localhost -Credential $cred -FilterHashtable @{logname="Security"; id=4688} -MaxEvents 25
$events = Get-WinEvent -Computer localhost -FilterHashtable @{logname="Security"; id=4688} -MaxEvents 20
 #$eventXML = [xml]$events[0].ToXml()  # This was for Testing
 #$eventXML.Event.EventData.Data       # This was for Testing
$outputcol = @()
ForEach ($Event in $Events ) {
$eventXML = [xml]$Event.ToXml() 
if ($eventXML.Event.EventData.Data[8].'#text' -like "*") {
  $output = New-Object PSobject
  $output | Add-Member -MemberType NoteProperty -Name Time -value $Event.TimeCreated
  $output | Add-Member -MemberType NoteProperty -Name Event -value $Event.ID
  $output | Add-Member -MemberType NoteProperty -Name Computer -Value $Event.MachineName
  #$output | Add-Member -MemberType NoteProperty -Name Computer $eventXML.Event.EventData.Data[1].'#text'  #Computer
  $output | Add-Member -MemberType NoteProperty -Name Command $eventXML.Event.EventData.Data[8].'#text'  #CommandLine
  $outputcol += $output
}  
} 
$outputcol | Format-table -auto | Tee-Object "C:\Users\eventlogs.txt"

但有没有办法通过AD或WMI设置它?我们正试图避免在工作站上安装另一个代理。

感谢!!!

1 个答案:

答案 0 :(得分:0)

确定没有留下这个空白或删除,以防其他人来看......看起来这是可能的 - 来自Spiceworks的帖子感谢David Auth

两个GPO会让你完成,儿子!为了汇总到$ 3rdparty_SIEM,我为App创建了一个订阅到本地App日志,Sys到本地Sys日志,Sec到Forwarded Events,因为... Windows?。然后是收集器的一个GPO和源的一个GPO,它们定义和启用Windows事件日志收集器服务(不要说!),然后是IP过滤器,并按顺序将网络服务添加到受限制的组抓住Sec日志。很简单!

...如果我发现了或者发现了,我会在这里发布。