Когда настраиваешь сбор и анализ логов, хочется сразу проверить, как это работает. Особенно, если используются какие-то выборки или реакция на конкретные события. С текстовыми логами всё просто. Достаточно любым способом добавить новую строку. С логами Windows чуть сложнее.
Для решения этой проблемы есть open source проект ntTraceControl. Он состоит из небольшого установщика, который добавляет модуль PowerShell. Достаточно скачать из репозитория и установить msi пакет и можно пользоваться.
Вот простой пример. Добавляем в журнал безопасности событие с ID 4624, указав вымышленное имя пользователя или домен:
> Import-Module ntTraceControl> Write-SecurityEventId4624 -SubjectUserName "SERVERADMIN.RU" -SubjectDomainName "HOMELAB"
Таким образом можно сгенерировать любую необходимую запись в лог файле. Другие примеры есть в репозитории.
Напомню, что виндовые логи умеет собирать тот же Zabbix. Вот пример настройки:
Windows EventLog Monitoring With ZABBIX
⇨ https://www.youtube.com/watch?v=rOBatrWrg2Y
Или Elastic:
Настраиваем сбор логов Windows Server в ELK Stack
⇨ serveradmin.ru/nastrai…lk-stack
#windows #мониторинг
