Windows, журнал безопасности ID4625, сокращенный вид
Добрый вечер Коллеги!
Настроил мониторинг журнала безопасности Windows, на событие ID 4625 (неверный логин\пароль).
Так же настроил отправку уведомлений через телеграмм бота, во время инцидента, он отправляет Всё событие из журнала windows, но там для меня много лишней инфы.
Мне надо получать информацию:
- Хост
- Учетная запись, которой не удалось выполнить вход
- Имя рабочей станции
- Сетевой адрес источника
Описание шаблона
Ключ элемента данных: eventlog[Security,,,,4625,,]
Выражение триггера: logeventid(/Advanced Windows Event Log/eventlog[Security,,,,4625,,])=1 and nodata(/Advanced Windows Event Log/eventlog[Security,,,,4625,,],5s)=0
Как можно сократить отправляемую инфу?
Настроил мониторинг журнала безопасности Windows, на событие ID 4625 (неверный логин\пароль).
Так же настроил отправку уведомлений через телеграмм бота, во время инцидента, он отправляет Всё событие из журнала windows, но там для меня много лишней инфы.
Мне надо получать информацию:
- Хост
- Учетная запись, которой не удалось выполнить вход
- Имя рабочей станции
- Сетевой адрес источника
Описание шаблона
Ключ элемента данных: eventlog[Security,,,,4625,,]
Выражение триггера: logeventid(/Advanced Windows Event Log/eventlog[Security,,,,4625,,])=1 and nodata(/Advanced Windows Event Log/eventlog[Security,,,,4625,,],5s)=0
Как можно сократить отправляемую инфу?
Comment