通用Windows事件日志

将此事件源连接到InsightIDR将允许高度全面地查看一个或少数高风险资产,如共享系统、受影响的用户或经常有可疑活动的资产。当轮询通用Windows事件日志时,InsightIDR将只提取安全日志。

收集器将每75秒调查一次通用Windows事件日志。

警告!

只使用单个或少数资产使用此事件源,因为Windows安全日志将具有大量带宽影响,并且可能会降低网络

如何配置事件源

  1. 从仪表板中选择数据收集在左手菜单上。
  2. 当出现“数据采集”页面时,单击设置事件源下拉和选择添加事件源码
  3. 从“原始数据”部分,单击通用Windows事件日志图标。出现“添加事件源”面板。
  4. 选择收集器和事件源。如果需要,您还可以命名您的活动源。
  5. 选择时区与事件源日志的位置匹配。
  6. 选择一个收集的方法并指定端口和协议。
  7. 点击保存

数据收集方法建议

建议通过WMI (Windows Management Instrumentation)配置此事件源,它查找并收集数据,而不是接收数据。该采集方式支持从单个IP或小范围采集数据。

阅读活动代码监视器

作为安全产品,InsightIdr从IT摄取数据中寻求特定的安全信息。以下是从通用Windows事件代码监视器的安全日志中拉出的代码。这些Windows事件ID由通用Windows事件日志(不是Insight代理)收集。必威体育app登录

阅读以下代码的含义:https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx.

1100 1101 1102 1103 1104 1105 1106 1107 1108 4608 4609 4610 4611 4612 4614 4615 4616 4618 4621 4622 4624 4625 4626 4627 4634 4646 4647 4648 4649 4650 4651 4652 4653 4654 4655 4656 4657 4658 4659 4660 4661 4662 4663 4664 4665 4666 4667 4668 4670 4671 4672 4673 4674 4675 4688 4689 4690 4691 4692 4693 4694 4695 4696 4697 4698 4699 4700 4701 4702 47034704 4705 4706 4707 4709 4710 4711 4712 4713 4714 4715 4716 4717 4718 4719 4720 4722 4723 4724 4725 4726 4727 4728 4729 4730 4731 4732 4733 4734 4735 4737 4738 4739 4740 4741 4742 4743 4744 4745 4746 4747 4748 4749 4750 4751 4752 4753 4754 4755 4756 4757 4758 4759 4760 4761 4762 4763 4764 4765 4766 4767 4768 4769 4770 4771 4772 4773 4774 4775 47764777 4778 4779 4780 4781 4782 4783 4784 4785 4786 4787 4788 4789 4790 4791 4792 4793 4794 4797 4798 4799 4800 4801 4802 4803 4816 4817 4818 4819 4820 4821 4822 4823 4824 4825 4826 4864 4865 4866 4867 4868 4869 4870 4871 4872 4873 4874 4875 4876 4877 4878 4879 4880 4881 4882 4883 4884 4885 4886 4887 4888 4889 4890 4891 4892 4893 4894 4895 4896 48974898 4899 4900 4902 4904 4905 4906 4907 4908 4909 4910 4911 4912 4913 4928 4929 4930 4931 4932 4933 4934 4935 4936 4937 4944 4945 4946 4947 4948 4949 4950 4951 4952 4953 4954 4956 4957 4958 4960 4961 4962 4963 4964 4965 4976 4977 4978 4979 4980 4981 4982 4983 4984 4985 5024 5025 5027 5028 5029 5030 5031 5032 5033 5034 5035 5037 5038 5039 5040 50415042 5043 5044 5045 5046 5047 5048 5049 5050 5051 5056 5057 5058 5059 5060 5061 5062 5063 5064 5065 5066 5067 5068 5069 5070 5071 5120 5121 5122 5123 5124 5125 5126 5127 5136 5137 5138 5139 5140 5141 5142 5143 5144 5145 5146 5147 5148 5149 5150 5151 5152 5153 5154 5155 5156 5157 5158 5159 5168 5169 5376 5377 5378 5440 5441 5442 5443 5444 5446 54475448 5449 5450 5451 5452 5453 5456 5457 5458 5459 5460 5461 5462 5463 5464 5465 5466 5467 5468 5471 5472 5473 5474 5477 5478 5479 5480 5483 5484 5485 5632 5633 5712 5888 5889 5890 6144 6145 6272 6273 6274 6275 6276 6277 6278 6279 6280 6281 6400 6401 6402 6403 6404 6405 6406 6407 6408 6409 6410 6416 6417 6418 6419 6420 6421 6422 6423 6424 8191