หลังจากที่เราเคยพูดเรื่องการเก็บ log โดยใช้ Sysmon กันแล้ว ทีนี้หากเราต้องการจะส่ง log ไปเก็บข้อมูลอยู่ที่ Centralize Log Server เพื่อนำไปทำ Correlation กับ log อื่นๆ หรือการเก็บ log ตามพรบ.ก็แล้วแต่ เราสามารถทำได้โดยการติดตั้ง Agent เพิ่มเติม

โดยในที่นี้เราจะใช้เป็น Solarwinds Event Log Forwarder for Windows สามารถทำได้ดังนี้

1. Download Agent จากเว็บไซด์ของ Solarwinds

2. ติดตั้ง Agent

3. เปิด Agent ขึ้นมา ที่ Dashboard ให้กดที่ Syslog Server จากนั้นกด Add

4. ใส่รายละเอียดของ Syslog Server จากนั้น Create

5. ที่ฝั่ง Subscriptions ให้กด Add แล้วทำการเลือก log ที่จะต้องการ monitor

กำหนด Priority

 

อีกวิธีที่ทำได้คือการส่งโดยใช้ Snare Lite ครับ เราสามารถทำได้ดังนี้

1. Download Agent (หากเป็น Epilog download ได้จากที่นี่)

2. ติดตั้ง Agent โดยกำหนดให้ Snare เป็นตัวจัดการ Eventlog

ใช้ System user ในการใช้งาน

กำหนดให้การเข้าถึง Web Interface ,กำหนด password การเข้าถึงและให้เข้าจากภายในเท่านั้น (local interface only)

3. เข้าใช้งาน web interface ของ Snare ผ่าน http://localhost:6161

4. Log in เข้าระบบโดยใช้ user,password ภายในเครื่อง

5. เมื่อเข้า Snare Remote Control ได้ ให้เข้าไปในส่วน Network Configuration จากนั้นกำหนด

Destination Snare Server address:
Destination Port:

จากนั้นกด Change Configuration

6. จากนั้นกดที่ปุ่ม  Apply the Latest Audit Configuration แล้วกด Reload Settings เพื่อทำการ apply Configuration

 

ที่เหลือก็คือกลับไปดูฝั่ง Syslog-ng Server เพื่อดู log ที่เกิดขึ้นครับ