0
目的:Windowsログの特権ユーザーアクティビティを追跡します。logstash - 動的リストにフィールドの内容を格納します。
ロジック:
ログオンイベントはtoken_elev%の1937または1938%が含まれている場合ダイナミックpriv_logonsリストにLOGON_ID(16進値)を保存します。後発事象については
、イベントでLOGON_IDがイベントに「特権」タグを追加し、priv_logonsリストのエントリのいずれかと一致場合。
priv_logonsリストにlogon_idのいずれかを保存してログオフイベントを受信した場合は、リストから削除します。
これはLogStashで実行可能ですか?はいの場合、どうですか?