Windows

是否存在不應丟棄 Windows 事件“消息”的獨特資訊或其他原因?

  • February 7, 2019

Message也許顯示我的無知,但是在攝取到日誌系統時,有什麼理由阻止Windows 事件?

這些是由其他屬性的數據組成的,為了本地化/可讀性,並且可以在不失去重要數據的情況下被丟棄嗎?

我不知道這是否是正確的閱讀地點,但這似乎指向那種情況?

範圍:

只關心微軟事件。如果某個隨機的人理論上可以通過 PowerShell 或其他一些特殊方式在消息欄位中使用唯一數據編寫自己的事件,我不在乎

語境:

攝取到日誌系統中,該message欄位顯著膨脹儲存。通常,有關事件含義的詳細資訊有據可查,或者可以在建構工具以在數據發送到日誌系統後公開數據時在本地系統上進行探索,sansmessage

謝謝!

至少對於預定義的事件模式,消息欄位似乎可以被丟棄。

感謝 josh_p 指向此部落格

一個範例顯示 Message 欄位是如何為特定事件 id 組成的:

( Get-WinEvent -ListProvider Microsoft-Windows-GroupPolicy ).Events |
Where-Object {$_.Id -eq 5314}

在 IT 安全領域,在將事件收集到 SIEM 時禁用“消息”部分的收集可能會很有趣。這將減少傳輸數據的大小,也將減少收集器伺服器的負載。

使用 Windows 事件收集器 (WEC) 功能時,可以通過從“ RenderedText ”(因此使用完整的“消息”)切換到優化模式“事件”(沒有“消息” ”)在訂閱設置中。這在下圖中的“ContentFormat”中顯示。

在此處輸入圖像描述

引用自:https://serverfault.com/questions/952407