目的:跟踪Windows日志中的特权用户活动。
逻辑:
如果登录事件包含 token_elev%1937或%1938 ,则将logon_id(十六进制值)保存到动态priv_logons列表。
对于后续事件,如果事件中的logon_id与priv_logons列表中的某个条目匹配,则为该事件添加“特权”标记。
当收到其中一个logon_ids保存在priv_logons列表中的注销事件时,将其从列表中删除。
这在LogStash中可行吗?如果是,怎么样?
答案 0 :(得分:0)
不单独使用Logstash。
Logstash不会在事件之间维护内部状态或数据对象,它只是一个解析引擎。
Logstash可以通过执行解析工作,然后将干净且合理的数据传递给执行您正在寻找的逻辑的程序来帮助您创建此类解决方案。