我正在尝试将一些内核级事件从我的 Splunk UF 转发到我的 Splunk 接收器。 我体验过 Windows 的内置实用程序 - logman,并且能够生成 etl 文件并将其转换为 XML 或 JSON。 然而我很难理解如何实际发送日志。
我尝试了 2 个附加组件:
https://github.com/vector-sec/TA_ETW
https://github.com/airbus-cert/Splunk-ETW
但我仍然无法实际发送事件。 我正在考虑编写自己的附加组件,但我不想在这方面花费大量时间。 使用 logman C# API 有多难? 有没有我没有尝试过的有效解决方案? 或者,是否有人能够使用我之前提到的附加组件并愿意给出他们的专业意见?
谢谢你。
最终我使用了SilkETW,它工作得非常好,并且还支持将跟踪作为服务运行。 我将其配置为作为独立服务写入事件日志,然后使用事件日志机制将其作为常规日志发送到我的 Splunk 接收器。
[WinEventLog://SilkService-Log]
disabled = 0
index = main
sourcetype = SilkService-Log:Logs