Eu tenho um servidor Server 2019 no qual configurei o Windows Event Collector. Eu tenho seis sistemas enviando logs com sucesso para ele (especificamente logs do AppLocker). Eu gostaria de expandir isso para cerca de 20 sistemas enviando logs, além de encaminhar logs de segurança, aplicativos e configuração. Mas não quero todos os logs dos quatro logs de eventos, de todos os servidores indo para eventos encaminhados. Gostaria de criar novos logs de eventos no servidor Collector para atender às minhas necessidades. Mas não consigo encontrar uma maneira de fazer isso. Eu tentei usar o powershell New-EventLog. Embora eu pudesse concluir o comando powershell com êxito, não consegui ver o log de eventos criado no Visualizador de eventos ou ao criar uma assinatura.
Existe uma maneira de fazer isso? Ou existe alguma outra maneira de as pessoas resolverem isso? Desde já, obrigado.
Sim. Basta seguir os passos aqui:
https://learn.microsoft.com/en-us/archive/blogs/russellt/creating-custom-windows-event-forwarding-logs
Eu gostaria que o processo fosse um pouco mais fácil.
Mais dicas sobre como usar canais de eventos personalizados podem ser encontradas aqui:
https://github.com/palantir/windows-event-forwarding/tree/master/windows-event-channels