我正在查看整个 ELK 堆栈(Elasticsearch/Logstash/Kibana)中的聚合数据,并且我从我的 Windows 系统中获得了很多好的数据。它工作得很好,但是当我收到 Windows 安全事件时,我想将 Windows 事件 ID 与人类可读事件相关联。(例如事件 ID 4990 = 用户打开文件,4658 = 用户关闭文件)
我还希望有多个过滤器,有点像数据透视表,我可以在其中显示哪些文件遇到了哪些事件 ID,按用户和文件分组。我认为它可能如下所示:
- 用户 1
- 文件 1
- Event1(人类可读的事件名称)| 留言 | 时间
- 文件2
- 事件2 | 留言 | 时间
- 活动3 | 留言 | 时间
- 文件 1
- 用户 2
- 文件 3
- 活动4 | 留言 | 时间
- 文件 3
你们中的任何人都知道如何做到这一点,或者知道我可以自己完成这项工作的资源吗?
这令人沮丧,因为我拥有所有数据,但似乎无法让它看起来像我想要的那样。