我有一个Windows Server所在的环境。我需要生成将发送到Splunk实例的特定安全事件,即6x登录失败然后登录成功 - 这只是一个用例。
理想情况下,我想编写一个脚本,定期(每小时让我们说)将这些自定义假事件插入到事件日志中,因此 - 它们将被发送到我的Splunk实例,其中它看起来像是发生了(实际上事件,它没有发生过,因为那个环境中没有人)
我确切地知道我需要什么事,我不知道如何自动创建它们。
换言之 - 我需要生成假的Windows事件数据,因此看起来它们来自某些真实的环境。
如果有人可以指点我的某篇文章或草稿我怎么能写出那个剧本 - 我想它应该是简单的剧本 - 或者使用不同的方法我会非常感激。
答案 0 :(得分:0)
请查看此blog以写入事件日志。您将能够从自定义源创建自定义事件。但我不认为您可以从系统拥有的源创建虚假事件,因此您可能需要配置Splunk来获取自定义源。
New-EventLog –LogName system –Source "App1"
Write-EventLog -LogName "System" -Source "App1" -EventID 1234 -EntryType Error -Message "Some Error message"