我正在查看整个 ELK 堆栈(Elasticsearch/Logstash/Kibana)中的聚合数据,并且我从我的 Windows 系统中获得了很多好的数据。它工作得很好,但是当我收到 Windows 安全事件时,我想将 Windows 事件 ID 与人类可读事件相关联。(例如事件 ID 4990 = 用户打开文件,4658 = 用户关闭文件)
我还希望有多个过滤器,有点像数据透视表,我可以在其中显示哪些文件遇到了哪些事件 ID,按用户和文件分组。我认为它可能如下所示:
- 用户 1
- 文件 1
- Event1(人类可读的事件名称)| 留言 | 时间
- 文件2
- 事件2 | 留言 | 时间
- 活动3 | 留言 | 时间
- 文件 1
- 用户 2
- 文件 3
- 活动4 | 留言 | 时间
- 文件 3
你们中的任何人都知道如何做到这一点,或者知道我可以自己完成这项工作的资源吗?
这令人沮丧,因为我拥有所有数据,但似乎无法让它看起来像我想要的那样。
最终,在大多数情况下,我刚刚学会了没有这两个功能。一般来说,数据可以很好地从过滤器中解析出来,幸运的是,Windows 事件日志已经提供了事件的详细信息,所以我刚刚学会了通过挖掘消息来获取信息。
要将给定的单词或模式替换为另一个给定的单词或模式,您可以使用翻译字典功能。我不太清楚你在问题的第二部分中要求什么,如果你能澄清它可能更容易回答。