Сопоставление данных в Кибане
Я смотрю на агрегирование данных во всем стеке ELK (Elasticsearch/Logstash/Kibana), и я получаю много хороших данных из моих оконных систем. Это работает очень хорошо, но когда я получаю события безопасности Windows, я бы хотел соотнести идентификаторы событий Windows с удобочитаемыми событиями. (например, событие с кодом 4990 = пользователь открывает файл, 4658 = пользователь закрывает файл)
Я также хотел бы иметь несколько фильтров, вроде сводной таблицы, где я могу показать, какие файлы встречались, какие идентификаторы событий, сгруппированные по пользователю и файлу. Я думаю, это может выглядеть примерно так:
- User1
- file1
- Event1 (удобочитаемое имя события)| сообщение | время
- file2
- Event2 | сообщение | время
- Event3 | сообщение | время
- file1
- Пользователь2
- file3
- Event4 | сообщение | время
- file3
Кто-нибудь из вас знает, как это сделать, или знает о ресурсах, где я могу сделать это сам?
Это разочаровывает, потому что у меня есть все данные, но я не могу заставить их выглядеть так, как я хочу.
2 ответа
В конечном счете, по большей части эти две функции, без которых я только что научился жить. Обычно данные довольно хорошо анализируются с помощью фильтров, и, к счастью, журналы событий Windows уже предоставляют приличную информацию о событии, поэтому я просто научился жить, просто копаясь в сообщении, чтобы получить информацию.
Чтобы заменить данное слово или шаблон другим данным словом или шаблоном, вы можете использовать функцию перевода словаря. Я не совсем понимаю, о чем вы спрашиваете во второй части вашего вопроса, если бы вы могли уточнить, было бы легче ответить.