主要用于记录
访问请求信息:(访问) 访问掩码: 0x120089
访问: READ_CONTROL
SYNCHRONIZE
ReadData (或 ListDirectory)
ReadEA
ReadAttributes
访问请求信息: (删除 )
访问掩码: 0x110080
访问: DELETE
SYNCHRONIZE
ReadAttributes
访问请求信息: (写数据或添加文件)
访问掩码: 0x2
访问: WriteData (或 AddFile)
案例1.查询zhangsan用户在固定时间删除文件的查询
source:server46-bf AND "0x110080" AND "zhangsan"
L2TPvpn 日志
外网ip winlogbeat_winlog_event_data_CallingStationID
状态 winlogbeat_winlog_keywords
时间 winlogbeat_@timestamp
名字 winlogbeat_winlog_event_data_SubjectUserName
winlogbeat_winlog_event_id 6272 登录成功
查询链接时长
winlogbeat_winlog_event_id
20272
查询分配ip地址
winlogbeat_winlog_event_id
20274
案例1.查询用户多少天验证失败的用户(时间根据需求定义)
source: server\-vpn AND "20271"
所需属性可以根据日志类型定义
案例2.统计一天拨入的次数(时间根据需求定义)
source:server\-vpn AND "6272"
案例3.查询登录连接的时长
source:server-vpn AND winlogbeat_winlog_event_id:20272