我正在查看整个 ELK 堆栈 (Elasticsearch/Logstash/Kibana) 中的聚合数据,并从我的 Windows 系统获取了大量有用数据。它运行良好,但当我收到 Windows 安全事件时,我想将 Windows 事件 ID 与人类可读的事件关联起来。(例如,事件 ID 4990 = 用户打开文件,4658 = 用户关闭文件)
我还希望有多个过滤器,有点像数据透视表,其中我可以显示哪些文件遇到了哪些事件 ID,按用户和文件分组。我认为它可能看起来像下面这样:
- 用户1
- 文件1
- Event1(人类可读的事件名称)| 消息 | 时间
- 文件2
- 事件2 | 消息 | 时间
- 事件3 | 消息 | 时间
- 文件1
- 用户2
- 文件3
- 事件4 | 消息 | 时间
- 文件3
你们有人知道如何做到这一点吗,或者知道我可以自己完成这一点的资源吗?
这很令人沮丧,因为我拥有所有数据,但似乎无法使它们看起来像我想要的那样。
答案1
最终,我学会了在没有这两个功能的情况下生活。通常,数据可以通过过滤器很好地解析出来,幸运的是,Windows 事件日志已经提供了事件的详细情况,所以我学会了深入研究消息以获取信息。
答案2
要用另一个给定的单词或模式替换给定的单词或模式,您可以使用翻译词典功能。我不太清楚你在问题的第二部分中要求什么,如果你能澄清一下,可能会更容易回答。