1. ホーム
  2. 質問と答え
  3. フィルタリングユーザーログオンイベントは

フィルタリングユーザーログオンイベントは

2017-02-23 1 views
0

私は弾性スタックに新たなんだと私は今、ユーザーのログオンを監視するためにWinlogbeatで働いています。 Elasticsearchにイベントを送信する前に、ユーザーによって生成されなかったログオンイベント(システムアカウントやサービスアカウントなど)を削除します。フィルタリングユーザーログオンイベントは

私はprocessorsを使用しようとしましたが、それが動作していないようです。ドキュメントは実際には最小限であり、実際の例はありません。

これは私のプロセッサ構成である:私は、結果としてこれを取得しかし

processors: 
- drop_event: 
    when: 
     regexp: 
      event_data.TargetUserName: ".*$" 

processors: 
- drop_event: 
    when: 
     equals: 
      event_data.LogonType: "0" 

processors: 
- drop_event: 
    when: 
     equals: 
      event_data.LogonType: "5" 


"LogonType": "3", 
"ProcessId": "0x0", 
"ProcessName": "-", 
"SubjectDomainName": "-", 
"SubjectLogonId": "0x0", 
"SubjectUserName": "-", 
"SubjectUserSid": "S-1-0-0", 
"TargetDomainName": "DOMAIN", 
"TargetLogonId": "0x14d570eec", 
"TargetUserName": "MACHINE-01$", 
"TargetUserSid": "S-1-5-18", 
"TransmittedServices": "-"

は誰もが私のプロセッサの設定が間違って何を教えてもらえますか?

出典

2017-02-23 Lakszhmi

+0

あなたは何を意味明確にすることができ、「私は、彼らがElasticsearchに送信される前に、ユーザーから来ていなかったログオンイベントをフィルタリングしたいです。」 –

+0

私はあなたが何を意味したのか考え出したと思います。 –

答えて

0

あなたのYAML設定ファイルで3つの別々のprocessorsの変数を宣言しました。 1つだけあるべきです。 processorsはリストですので、複数の項目をリストに追加できます。プロセッサーとその条件はdocumentationです。あなたが条件のいずれかが、あなたがor条件で単一drop_eventプロセッサを使用することができ該当する場合、イベントをドロップしたいことを考えると

processors: 
- <processor_name>: 
    when: 
     <condition> 
      <parameters> 
- <processor_name>: 
    when: 
     <condition> 
      <parameters>

。ここに例があります。 Monitoring Windows Logons with Winlogbeat - 

processors: 
- drop_event: 
    when.or: 
     # This filters logons from managed service accounts. 
     # The trailing dollar sign is reserved for managed service accounts. 
     - regexp.event_data.TargetUserName: '.*\$' 

     # This filters logon type 0 which is used for system accounts. 
     - equals.event_data.LogonType: '0' 

     # This filters logon type 5 which is used for service accounts. 
     - equals.event_data.LogonType: '5' 

     # This filters anonymous logons which are typically benign. 
     # Anonymous users have extremely limited privileges. 
     - equals.event_data.TargetUserName: 'ANONYMOUS LOGON'

は、私はあなたがこのWinlogbeatのブログの記事に記載された条件のいくつかを、以下のことかもしれないと思いました。

出典

2017-02-23 05:59:59

+0

それは問題です、私は今それを試してみます。ありがとうございました。 – Lakszhmi

関連する問題

 関連する問題