SysmonSearch icon indicating copy to clipboard operation
SysmonSearch copied to clipboard

Published 20 hours ago verified publisher icon JPCERTCC

SysmonSearchプラグインにログが表示されません

Open nakada92 opened this issue 4 years ago • 2 comments

ubuntu18.04LTS/elasticsearch7.5.2/kibana7.5.2環境へSysmonSearchプラグインを導入しましたが、 SysmonSearchの[EventList]でしかログが表示されず[Alert][Serach][Statistics]が利用できません。 elasticsearchにログは届いていることは確認済みです。 どなたか同じ現象になっていませんでしょうか?

クライアント側はwinlogbeat7.5.2です。 ちなみにwinlogbeat6.6.2のログは[EventList]にすら表示されません。 winlogbeat6系のログは表示できないのでしょうか?

nakada92 avatar Jun 02 '21 10:06 nakada92

Winlogbeatのフィールド名が7系で大きく変わっているため、恐れ入りますが6系以前のログはサポートしておりません。

下記ブログのWinlogbeatの箇所をご参照いただけますと幸いです。 https://blogs.jpcert.or.jp/ja/2020/04/sysmonsearch-v20.html

S03D4-164 avatar Jun 02 '21 11:06 S03D4-164

ありがとうございます。

6系以前のログはサポートしていない旨承知しました。

winlogbeat7.5.2のログでもSysmonSearchの[EventList]でしかログが表示されず[Alert][Serach][Statistics]が利用できません。 に関しては何か考えられる設定不備はありますでしょうか? configfile.zip

nakada92 avatar Jun 03 '21 00:06 nakada92