Applied Incident Response kitabına ait web sitesinde yer alan Event Log Analyst Reference bölümünü okuduktan sonra Powershell ile basit bir script yazarak bahse konu logları SIEM türü ürünlerin indeksleyebileceği şekilde toplamaya karar verdim. Aşağıdaki maddelerde scripti nasıl kullanabileceğinize dair detayları bulabilirsiniz.
Toplanması gereken event log sayısı arttıkça, toplama süresinin oldukça uzayacağını belirtmek isterim. Şu adresten scripti indirdikten sonra, toplamak istediğiniz event logları düzenleyebilirsiniz.
Düzenleme işi bittikten sonra scripti çalıştıralım.
Sonrasında toplama sürecinin bitmesini bekleyelim.
Sonuçlar aşağıdaki şekilde:
Topladığımız logları öntanımlı ayarları kullanarak Splunk’a indekslettiğimizde sonuçlar anahtar kelime aramaya uygun olarak karşımıza çıkmakta.
Splunk ekran görüntüsü:
Sanal ortamda yaptığım testlerde RAM ve CPU kullanımı ortalama aşağıdaki seviyelerde kaldı.
İlerleyen aşamalarda uzaktan log toplama vb. gibi özellikler de eklenebilir. Scriptte bug vs. varsa da yorumlara yazabilirsiniz.
Faydalı olması dileğiyle…
CSEC ZONE 
Birisi “Powershell Kullanarak Spesifik Event Log Toplama” üzerinde düşündü