logstash - 動的リストにフィールドの内容を格納します。

Question

目的：Windowsログの特権ユーザーアクティビティを追跡します。

ロジック：

ログオンイベントはtoken_elev％の1937または1938％が含まれている場合ダイナミックpriv_logonsリストにLOGON_ID（16進値）を保存します。後発事象については

、イベントでLOGON_IDがイベントに「特権」タグを追加し、priv_logonsリストのエントリのいずれかと一致場合。

priv_logonsリストにlogon_idのいずれかを保存してログオフイベントを受信した場合は、リストから削除します。

これはLogStashで実行可能ですか？はいの場合、どうですか？

Answer 1

Logstashだけではありません。

Logstashは、イベント間の内部状態やデータオブジェクトを維持しません。これは単なる解析エンジンです。

Logstashを使用すると、解析作業を行い、探しているロジックを実行するプログラムにきれいで分かりやすいデータを渡すことができます。