スネアをpowershellに置き換え、イベントログをプッシュする

Question

powershellを使用してイベントログをSIEMにプッシュする方法はありますか？私はこれを持ってイベントログを取得することができますが、ログをElasticStack/Arcsight SIEMにプッシュするためのエージェントレスの方法を探しています。私たちがイベント」を取得]でき

我々はこれを持っているが

#$cred = Get-Credential 
#$events = Get-WinEvent -Computer localhost -Credential $cred -FilterHashtable @{logname="Security"; id=4688} -MaxEvents 25 
$events = Get-WinEvent -Computer localhost -FilterHashtable @{logname="Security"; id=4688} -MaxEvents 20 
#$eventXML = [xml]$events[0].ToXml() # This was for Testing 
#$eventXML.Event.EventData.Data  # This was for Testing 
$outputcol = @() 
ForEach ($Event in $Events) { 
$eventXML = [xml]$Event.ToXml() 
if ($eventXML.Event.EventData.Data[8].'#text' -like "*") { 
    $output = New-Object PSobject 
    $output | Add-Member -MemberType NoteProperty -Name Time -value $Event.TimeCreated 
    $output | Add-Member -MemberType NoteProperty -Name Event -value $Event.ID 
    $output | Add-Member -MemberType NoteProperty -Name Computer -Value $Event.MachineName 
    #$output | Add-Member -MemberType NoteProperty -Name Computer $eventXML.Event.EventData.Data[1].'#text' #Computer 
    $output | Add-Member -MemberType NoteProperty -Name Command $eventXML.Event.EventData.Data[8].'#text' #CommandLine 
    $outputcol += $output 
} 
} 
$outputcol | Format-table -auto | Tee-Object "C:\Users\eventlogs.txt" 

をlogs-しかし、ADまたはWMIを介してこれを設定する方法はありますか？私たちは、ワークステーションに別のエージェントをインストールすることを避けようとしています。

ありがとうございました！

Answer 1

OKはこれが可能であるように見える...この空白のままにしたり、他の誰かが見てきた場合に、削除したくなかった - spiceworksでポストからにデビッド・認証のおかげで

つのGPOはあなたを取得します完了、息子！ $ 3rdparty_SIEMに巻き上げるために、私はWindowsのためにローカルAppログにSys、ローカルSysログにSys、転送イベントにSecをそれぞれ1つずつ作成しました。次に、Windows Event Log Collectorサービスを定義して有効にするコレクタ用のGPOとソース用のGPOを1つずつ作成し、IPフィルタを適用し、ネットワークサービスを制限付きグループに追加してSecを取得しますログ。十分に簡単！

...もう見つからない場合は、ここに投稿します。