Bonjour.
Je travaille sur ELK 5 avec des flux provenant d'un serveur Windows avec l'utilisation Winlogsbeat 5.1.
Après de nombreuses recherches infructueuses, je voudrais faire une recherche qui matche sur le champ "event_data.relativeTargetName" (de la forme: ADC\DEF\hij.txt) qui contient les paths de mes objets ET le champ beat.hostname (ex RM-TV) .
J'ai essayé plusieurs requêtes du type relativeTargetName: "hij.txt" AND beat.hostname: RM-TV mais cela ne fonctionne pas.
Quelle est la requête à injecter dans le champ "recherche" de Kibana pour que les deux conditions soient validées ?
Merci
Il faut surtout que tu regardes d'abord quels sont les mappings pour ces champs.
Peux-tu:
- Fournir le mapping de ton index
- Fournir un document type
Bonjour David.
Je cherche à faire un filtre Kibana qui vérifie tous les champs suivants:
(beat.hostname: S-DATA-1) + (message: 0x10000) + (message: D:\DATA\Mesures\test.txt)
Je te donne la capture obtenue d'un filtre type (beat.hostname : S-DATA-1) AND (message: 0x10000)
En espérant que cela suffira !
timestamp April 3rd 2017, 16:56
t _id AVs0UQLoKcseTmA_co6I
t _index winlogbeat-2017.04.03
_score -
t _type wineventlog
t beat.hostname S-DATA-1
t beat.name S-DATA-1
t beat.version 5.1.2
t computer_name S-DATA-1.rs.pl
t event_data.AccessList %%1537
t event_data.AccessMask 0x10000
t event_data.HandleId 0x24ac
t event_data.ObjectName D:\DATA\Mesures\test.txt
t event_data.ObjectServer Security
t event_data.ObjectType File
t event_data.ProcessId 0x4
t event_data.ResourceAttributes S:AI
t event_data.SubjectDomainName Pl
t event_data.SubjectLogonId 0x1196bb42
t event_data.SubjectUserName 0177844
t event_data.SubjectUserSid S-1-5-21-2568005389-1073966295-1098121669-12345
event_id 4,663
t keywords Succès de l’audit
t level Information
t log_name Security
t message Une tentative d’accès à un objet a été effectuée.
Sujet :
ID de sécurité : S-1-5-21-2568005389-1073966295-1098121669-12345
Nom du compte : 012345678
Domaine du compte : Pl
ID d’ouverture de session : 0x1196BB42
Objet :
Serveur de l’objet : Security
Type d’objet : File
Nom de l’objet : D:\DATA\Mesures\test.txt
Attributs de ressource : S:AI
Informations sur le processus :
ID du processus : 0x4
Nom du processus :
Informations sur la demande d’accès :
Accès : DELETE
Masque d’accès : 0x10000
t opcode Informations
process_id 672
t provider_guid {54849625-5478-4994-A5BA-3E3B0328C30D}
t record_number 42398118
t source_name Microsoft-Windows-Security-Auditing
t task Stockage amovible
thread_id 684
t type wineventlog
version 1
Cordialement.
Idéalement il faudrait faire un:
GET tonidex/_mapping
GET tonindex/_search?size=1
Merci David pour ton aide.
Lorsque je fait un "GET mon_index/_mapping j'obtiens, je suppose, les champs disponibles de recherche valables pour cet index? Par exemple "IpPort": { type":"keyword", "ignore_above: 1024}
Pour le deuxième GET lorsque je fais GET mon_index/_search?size=1 quelles sont les données que ma console est sensée me renvoyer dans le cas précis avec l'occurrence "size=1" ?
A+
Peux-tu copier les résultats ici STP?
Hello David.
Bon je commence à entrevoir la méthode pour exécuter un requête (par exemple sur un audit de serveur de fichiers Windows envoyé par winlogsbeat).
Sachant que je veux requêter sur tous mes index journaliers, je me sers donc de la console elastic et envoie une commande GET /_search?q=message: "mon information a trouver sur tous les index" AND message:"le masque d'accès windows généré pour une suppression "
J'obtiens donc un seul "hit" me donnant toutes mes informations !
Question: comment puis-je requêter dans la barre de recherche du menu "Discover" de kibana pour arriver au même résultats et utiliser plusieurs "Available Fields" donné par ma pattern ?
Merci
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.