Đáng ngạc nhiên là phiên bản đàn hồi 7.15 của tôi với giấy phép cơ bản đã cài đặt máy chủ nhóm và sau đó định cấu hình chính sách cửa sổ với tích hợp cửa sổ và điểm cuối đàn hồi. Đã kích hoạt tất cả các quy tắc; tuy nhiên tôi không thấy bất kỳ ứng dụng bảo mật nhật ký nào. Tôi đặc biệt sử dụng máy chủ chân để đăng ký đại lý và thu thập nhật ký cửa sổ.
Đã thêm tác nhân cửa sổ trên Bộ điều khiển miền cũng như ADC của tôi nhưng vẫn không thấy bất kỳ nhật ký nào.
Bất kỳ đầu mối tại sao? Ngoài ra, tôi thấy các bản ghi dưới đây trong kibana.log một cách nhất quán.
{"type":"log","@timestamp":"2021-10-07T22:43:49+05:30","tags":["info","plugins","securitySolution"],"pid ":1102,"message":"[+] Đã hoàn tất lập chỉ mục 0 tín hiệu được tìm kiếm giữa các phạm vi ngày [\n {\n \"to\": \"2021-10-07T17:13:49.667Z\",\n \ "từ\": \"2021-10-07T17:04:49.667Z\",\n \"maxSignals\": 100\n }\n] name: \"Truy cập SystemKey qua Dòng lệnh\" id: \" c2c1fbc1-229f-11ec-803f-17c1b2345c64\" id quy tắc: \"d75991f2-b989-419d-b797-ac1e54ec2d61\" chỉ số tín hiệu: \".siem-signals-default\""}
{"type":"log","@timestamp":"2021-10-07T22:43:49+05:30","tags":["error","plugins","securitySolution"],"pid ":1102,"message":"Đã xảy ra lỗi trong khi thực thi quy tắc: thông báo: \"index_not_found_Exception: [verification_exception] Lý do: Đã tìm thấy 1 vấn đề\nline -1:-1: Tên chỉ mục [*,-*]\" không xác định: \"Xóa nhật ký sự kiện Windows\" id: \"c2c1fbd5-229f-11ec-803f-17c1b2345c64\" id quy tắc: \"d331bbe2-6db4-4941-80a5-8270db72eb61\" chỉ số tín hiệu: \".siem-signals-default \""}
{"type":"log","@timestamp":"2021-10-07T23:21:53+05:30","tags":["error","plugins","securitySolution"],"pid ":10188,"message":"Đã xảy ra lỗi trong khi thực thi quy tắc: thông báo: \"index_not_found_Exception: [verification_exception] Lý do: Đã tìm thấy 1 vấn đề\nline -1:-1: Tên chỉ mục [*,-*]\" không xác định: \"Tạo tệp thực thi dịch vụ PrintSpooler đáng ngờ\" id: \"c2c2710c-229f-11ec-803f-17c1b2345c64\" id quy tắc: \"5bb4a95d-5a08-48eb-80db-4c3a63ec78a8\" chỉ số tín hiệu: \".siem-signals -mặc định\""}
{"type":"log","@timestamp":"2021-10-07T23:21:53+05:30","tags":["error","plugins","securitySolution"],"pid ":10188,"message":"Đã xảy ra lỗi trong khi thực thi quy tắc: thông báo: \"index_not_found_Exception: [verification_exception] Lý do: Đã tìm thấy 1 vấn đề\nline -1:-1: Tên chỉ mục [*,-*]\" không xác định: \"Tạo tệp bất thường - Luồng dữ liệu thay thế\" id: \"c2c41eb3-229f-11ec-803f-17c1b2345c64\" id quy tắc: \"71bccb61-e19b-452f-b104-79a60e546a95\" chỉ số tín hiệu: \".siem- tín hiệu-mặc định\""}
{"type":"log","@timestamp":"2021-10-07T23:21:53+05:30","tags":["error","plugins","securitySolution"],"pid ":10188,"message":"Đã xảy ra lỗi trong khi thực thi quy tắc: thông báo: \"index_not_found_Exception: [verification_exception] Lý do: Đã tìm thấy 1 vấn đề\nline -1:-1: Tên chỉ mục [*,-*]\" không xác định: \"Tính bền vững thông qua Nhà cung cấp đăng ký tiêu chuẩn WMI\" id: \"c2c445ba-229f-11ec-803f-17c1b2345c64\" id quy tắc: \"70d12c9c-0dbd-4a1a-bc44-1467502c9cf6\" chỉ số tín hiệu: \".siem-signals -mặc định\""}
{"type":"log","@timestamp":"2021-10-07T23:21:53+05:30","tags":["error","plugins","securitySolution"],"pid ":10188,"message":"Đã xảy ra lỗi trong khi thực thi quy tắc: thông báo: \"index_not_found_Exception: [verification_exception] Lý do: Đã tìm thấy 1 vấn đề\nline -1:-1: Tên chỉ mục [*,-*]\" không xác định: \"Microsoft Exchange Worker sinh ra các quy trình đáng ngờ\" id: \"c2c445b7-229f-11ec-803f-17c1b2345c64\" id quy tắc: \"f81ee52c-297e-46d9-9205-07e66931df26\" chỉ số tín hiệu: \".siem-signals -mặc định\""}
{"type":"log","@timestamp":"2021-10-07T23:21:53+05:30","tags":["error","plugins","securitySolution"],"pid ":10188,"message":"Đã xảy ra lỗi trong khi thực thi quy tắc: thông báo: \"index_not_found_Exception: [verification_exception] Lý do: Đã tìm thấy 1 vấn đề\nline -1:-1: Tên chỉ mục [*,-*]\" không xác định: \"Tính bền bỉ qua Microsoft Outlook VBA\" id: \"c2c3345f-229f-11ec-803f-17c1b2345c64\" id quy tắc: \"397945f3-d39a-4e6f-8bcb-9656c2031438\" chỉ số tín hiệu: \".siem-signals- mặc định\""}
{"type":"log","@timestamp":"2021-10-07T23:21:53+05:30","tags":["error","plugins","securitySolution"],"pid ":10188,"message":"Đã xảy ra lỗi trong khi thực thi quy tắc: thông báo: \"index_not_found_Exception: [verification_exception] Lý do: Đã tìm thấy 1 vấn đề\nline -1:-1: Tên chỉ mục [*,-*]\" không xác định: \"Tính bền vững thông qua KDE AutoStart Script hoặc Sửa đổi tệp máy tính để bàn\" id: \"c2c3f7a8-229f-11ec-803f-17c1b2345c64\" id quy tắc: \"e3e904b3-0a8e-4e68-86a8-977a163e21d3\" chỉ số tín hiệu: \". siem-signals-default\""}
{"type":"log","@timestamp":"2021-10-07T23:21:53+05:30","tags":["error","plugins","securitySolution"],"pid ":10188,"message":"Đã xảy ra lỗi trong khi thực thi quy tắc: thông báo: \"index_not_found_Exception: [verification_exception] Lý do: Đã tìm thấy 1 vấn đề\nline -1:-1: Tên chỉ mục [*,-*]\" không xác định: \"Cài đặt nhà cung cấp hỗ trợ bảo mật\" id: \"c2c3344f-229f-11ec-803f-17c1b2345c64\" id quy tắc: \"e86da94d-e54b-4fb5-b96c-cecff87e8787\" chỉ số tín hiệu: \".siem-signals- mặc định\""}
