System Monitor (Sysmon) のダウンロードとサービス登録
Sysmon は Microsoft の Sysinternals Suite に含まれています。
「Sysmon microsoft download」あたりのキーワード検索でダウンロードサイトは見つかると思います。
管理者で起動したコマンドプロンプトで下記のように打ち込みます。
C:\> sysmon.exe -i -n -h md5
これで Sysmon がサービス登録されて、イベントログに実行されたコマンドがロギングされるようになります。
[アプリケーションとサービスログ]-[Microsoft]の下に[Sysmon]が作られます。
Sysmon のイベントログを見ると実行されたプロセス情報を見ることが出来ます。
このイベントログのフルネームを確認します。
これをUniversal Forwarder 上の inputs.conf に記述します。
[WinEventLog://Microsoft-Windows-Sysmon/Operational]
disabled = 0
index=winevens
これで指定したイベントログが送信されるようになります。
Splunk のページに戻る
0 件のコメント:
コメントを投稿