Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
| kibana_auditbeat_query [2020/02/14 13:52] – nekan | kibana_auditbeat_query [2021/03/05 20:05] (Version actuelle) – nekan |
|---|
| ~~CLOSETOC~~ | ====== Auditbeat - Requête d'audit dans Kibana (cas pratiques) ====== |
| ====== Auditbeat - Requête d'audit dans Kibana (cas pratique) ====== | <label type="info">Création</label> --- //[[nekan@shyrkasystem.com|Nicolas THOREZ]] 2020/02/14 14:33// |
| |
| ''auditbeat'' récupère ses données grâce à ''auditd'' qui, selon ses règles peut être très verbeux. Les informations que l'on recherche peuvent donc être noyer dans un flot de données qui ne nous intéresse pas sur le moment. Il est donc nécessaire de filtrer les données afin de n'avoir à traiter que les données utiles selon le cas pratique du moment. | ''auditbeat'' récupère ses données grâce à ''auditd'' qui, selon ses règles, peut être très verbeux. Les informations que l'on recherche peuvent donc être noyées dans un flot de données qui ne nous intéresse pas sur le moment. Il est donc nécessaire de filtrer les données afin de n'avoir à traiter que les données utiles selon le cas pratique du moment. |
| |
| Ces requêtes sont à entrer dans la barre de recherche de Kibana du menu ''SIEM''. | Ces requêtes sont à entrer dans la barre de recherche de Kibana du menu ''SIEM''. |
| Pour les évènements du 13 février 2020 de 16h40 à 16h50, heure de paris (CET). | Pour les évènements du 13 février 2020 de 16h40 à 16h50, heure de paris (CET). |
| |
| <file>@timestamp <= "2020-02-13T16:50CET" and @timestamp >= "2020-02-13T16:49CET"</file> | <file>@timestamp <= "2020-02-13T16:50CET" and @timestamp >= "2020-02-13T16:40CET"</file> |
| |
| --- //[[nekan@shyrkasystem.com|Nicolas THOREZ]] 2020/02/14 14:33// | |
| ~~DISCUSSION~~ | ~~DISCUSSION~~ |