Я ищу агрегирование данных во всем стеке ELK (Elasticsearch / Logstash / Kibana), и я получаю много хороших данных из своих систем Windows. Он работает очень хорошо, но когда я получаю события безопасности Windows, я хотел бы сопоставить идентификаторы событий Windows с событиями, доступными для чтения человеком. (например, идентификатор события 4990 = пользователь открывает файл, 4658 = пользователь закрывает файл)
Я также хочу иметь несколько фильтров, вроде сводной таблицы, где я могу показать, какие файлы встречаются с какими идентификаторами событий, сгруппированы по пользователям и файлам. Я думаю, это могло бы выглядеть примерно так:
Кто-нибудь из вас знает, как это сделать, или знает ресурсы, где я могу сделать это сам?
Это расстраивает, потому что у меня есть все данные, но я не могу заставить их выглядеть так, как я хочу.
Чтобы заменить данное слово или образец другим заданным словом или образцом, вы можете использовать перевести словарь функция. Я не совсем понимаю, о чем вы просите во второй части вашего вопроса, если вы могли бы уточнить, было бы легче ответить.
В конечном счете, по большей части я только что научился жить без этих двух функций. Как правило, данные обрабатываются фильтрами довольно хорошо, и, к счастью, журналы событий Windows уже предоставляют приличную информацию о событии, поэтому я просто научился жить, просто копаясь в сообщении, чтобы получить информацию.