如何创建 Windows 事件日志脚本?
How to create Windows Event Log script?
我有一个 Windows 服务器所在的环境。我需要生成将发送到 Splunk 实例的特定安全事件,即 6 次登录失败然后登录成功 - 这只是一个用例。
理想情况下,我想编写一个脚本,定期(比如说每小时)将这些自定义的假事件插入到事件日志中,因此 - 它们将被发送到我的 Splunk 实例,看起来这已经发生了(现实中的事件,它并没有发生,因为那个环境中没有人)
我确切地知道我需要什么事件,我不知道如何自动创建它们。
换句话说 - 我需要生成假的 Windows 事件数据,这样它们看起来就像来自真实环境。
如果有人能给我指出一些文章或草稿,我该如何编写该脚本 - 我想它应该是简单的脚本 - 或者可能使用不同的方法,我将非常感激。
查看此 blog 以写入事件日志。您将能够从自定义来源创建自定义事件。但我不认为你可以从系统拥有的源创建假事件,所以你可能需要配置 Splunk 来获取自定义源。
New-EventLog –LogName system –Source "App1"
Write-EventLog -LogName "System" -Source "App1" -EventID 1234 -EntryType Error -Message "Some Error message"
我有一个 Windows 服务器所在的环境。我需要生成将发送到 Splunk 实例的特定安全事件,即 6 次登录失败然后登录成功 - 这只是一个用例。
理想情况下,我想编写一个脚本,定期(比如说每小时)将这些自定义的假事件插入到事件日志中,因此 - 它们将被发送到我的 Splunk 实例,看起来这已经发生了(现实中的事件,它并没有发生,因为那个环境中没有人)
我确切地知道我需要什么事件,我不知道如何自动创建它们。
换句话说 - 我需要生成假的 Windows 事件数据,这样它们看起来就像来自真实环境。
如果有人能给我指出一些文章或草稿,我该如何编写该脚本 - 我想它应该是简单的脚本 - 或者可能使用不同的方法,我将非常感激。
查看此 blog 以写入事件日志。您将能够从自定义来源创建自定义事件。但我不认为你可以从系统拥有的源创建假事件,所以你可能需要配置 Splunk 来获取自定义源。
New-EventLog –LogName system –Source "App1"
Write-EventLog -LogName "System" -Source "App1" -EventID 1234 -EntryType Error -Message "Some Error message"