Je suis nouveau dans la pile Elastic et je travaille maintenant avec Winlogbeat pour surveiller les connexions utilisateur. Avant d'envoyer les événements à Elasticsearch, je souhaite supprimer les événements de connexion qui n'ont pas été générés par les utilisateurs (par exemple, les comptes système et de service). J'ai essayé d'utiliser le processors
, mais cela ne semble pas fonctionner. La documentation est vraiment minime et il n'y a pas d'exemple de travail.Filtrage des événements d'ouverture de session utilisateur à l'aide des processeurs Winlogbeat 5.x
Ceci est ma configuration du processeur:
processors:
- drop_event:
when:
regexp:
event_data.TargetUserName: ".*$"
processors:
- drop_event:
when:
equals:
event_data.LogonType: "0"
processors:
- drop_event:
when:
equals:
event_data.LogonType: "5"
Cependant, je reçois cela comme le résultat:
"LogonType": "3",
"ProcessId": "0x0",
"ProcessName": "-",
"SubjectDomainName": "-",
"SubjectLogonId": "0x0",
"SubjectUserName": "-",
"SubjectUserSid": "S-1-0-0",
"TargetDomainName": "DOMAIN",
"TargetLogonId": "0x14d570eec",
"TargetUserName": "MACHINE-01$",
"TargetUserSid": "S-1-5-18",
"TransmittedServices": "-"
Quelqu'un peut-il me dire ce qui ne va pas avec ma config processeur?
Pouvez-vous préciser ce que vous entendez par "Je veux filtrer les événements de connexion qui ne provenaient pas de l'utilisateur avant qu'ils ne soient envoyés à Elasticsearch." –
Je pense avoir compris ce que vous vouliez dire. –