Pour configurer le serveur Windows pour envoyer des logs vers un serveur Syslog en utilisant la ligne de commande, vous pouvez utiliser la commande auditpol.exe.
Voici comment vous pouvez faire :
Activer l’Audit des Objets (par exemple, les fichiers ou dossiers)
Pour activer l’audit des objets, ouvrez l’invite de commande en tant qu’administrateur et exécutez la commande suivante :
auditpol.exe /set /subcategory:"File System" /success:enable /failure:enableCette commande active l’audit des événements liés au système de fichiers, y compris la création, la modification et la suppression de fichiers
Configurer le Serveur Syslog en Tant que Destinataire des Logs
Pour configurer le serveur Windows pour envoyer les logs vers un serveur Syslog, vous pouvez utiliser la commande wevtutil. Assurez-vous de remplacer SYSLOG_SERVER_IP par l’adresse IP réelle de votre serveur Syslog et PORT par le numéro de port que le serveur Syslog utilise pour écouter les messages :
wevtutil.exe im "Path to the log file" /rd:true /rf:true /f:"<QueryList><Query Id=\"0\" Path=\"Security\"><Select Path=\"Security\">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4663)] and (EventID=4663)]</Select></Path></Query></QueryList>" /e:true /c:true /q:truePath to the log file: Remplacez cela par le chemin d’accès du fichier journal que vous souhaitez envoyer au serveur Syslog.<Query>: Spécifiez le type d’événements que vous souhaitez envoyer au serveur Syslog. Dans cet exemple, il envoie les événements de l’ID 4663 (Audit des accès aux objets) du journal de sécurité.
N’oubliez pas de personnaliser cette commande en fonction de vos besoins spécifiques. Une fois cette commande exécutée, les logs correspondant aux critères spécifiés seront envoyés au serveur Syslog.
Assurez-vous de tester votre configuration pour vous assurer que les logs sont envoyés avec succès vers le serveur Syslog et que les événements appropriés sont capturés.
