Contenu connexe
Similaire à 【Log Analytics Tech Meetup】Beatsファミリーの紹介 (20)
Plus de Hibino Hisashi (6)
【Log Analytics Tech Meetup】Beatsファミリーの紹介
- 2. 自己紹介
名前: 日比野 恒 (ひびの ひさし)
セキュリティアーキテクト
(CISSP、CISA、情報処理安全確保支援士)
モチベーション:
1. クラウドセキュリティにおけるデザインパターンの設計
2. コンテナ環境におけるセキュリティアーキテクチャの設計
クラウド環境のログをどう活かす?先駆者の知見から学ぶ
https://ascii.jp/elem/000/001/697/1697672/
後日スライド公開予定
- 17. WindowsのEventLogってどうしてます?
Windows踏み台サーバでよく取るログイン関連のEventLogは簡単に取得ができる。
Windows OS
WinlogbeatEventLog
Elasticsearch
① ②
#================== Winlogbeat specific options =================
winlogbeat.event_logs:
- name: Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
tags: ["login"]
event_id: 21,23,24,25
- name: Security
tags: ["login"]
event_id: 4625
#======================== Outputs ========================
#-------------------------- Elasticsearch output ------------------------------
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["<ElasticsearchのIPアドレス>:9200"]
No EventID 内容
1 21 OSログイン成功
2 23 OSログオフ成功
3 24 OSセッション切断
4 25 OSセッション再接続
5 4625 OSログイン失敗
【winlogbeat.yml】
Windows踏み台のログイン証跡の賢い取り方
https://qiita.com/hssh2_bin/items/394c93bd1250e89d295c