Я смотрю на агрегирующиеся данные в целом стеке ELK (Elasticsearch/Logstash/Kibana), и я получаю много хороших данных из моих систем окон. Это работает очень хорошо, но когда я получаю События безопасности Windows, я хотел бы коррелировать идентификаторы события окон к человекочитаемым событиям. (например, Идентификатор события 4990 = Пользователь открывает файл, 4658 = Пользовательский файл завершений),
Я также надеюсь иметь несколько фильтров, отчасти как сводная таблица, где я могу показать который файлы, с которыми встречаются который Идентификаторы события, сгруппированные пользователем и файлом. Я думаю, что это могло посмотреть что-то как следующее:
Какой-либо из Вас знает, как сделать это или знать о ресурсах, где я могу выполнить это сам?
Это печально, потому что я имею все данные, но, может казаться, не заставляю его быть похожим на то, что я хочу.
В конце концов, по большей части эти две особенности я только что научился жить без них. Обычно данные довольно хорошо разбираются фильтрами, и, к счастью, журналы регистрации событий Windows уже предоставляют приличные подробности о событии, поэтому я просто научился жить с тем, чтобы просто покопаться в сообщении для получения информации.
Чтобы заменить заданное слово или шаблон другим заданным словом или шаблоном, вы можете использовать функцию перевести словарь . Я не совсем понимаю, о чем вы спрашиваете во второй части своего вопроса, если бы вы могли уточнить, было бы легче ответить.