0
点赞
收藏
分享

微信扫一扫

graylog windows日志类型记录

主要用于记录
访问请求信息:(访问) 访问掩码:  0x120089
访问:  READ_CONTROL
   SYNCHRONIZE
   ReadData (或 ListDirectory)
   ReadEA
   ReadAttributes
访问请求信息:   (删除    )
访问掩码:  0x110080
访问:  DELETE
   SYNCHRONIZE
   ReadAttributes
访问请求信息: (写数据或添加文件)
访问掩码:  0x2
访问:  WriteData (或 AddFile)

案例1.查询zhangsan用户在固定时间删除文件的查询

source:server46-bf AND "0x110080" AND "zhangsan"


L2TPvpn 日志

外网ip   winlogbeat_winlog_event_data_CallingStationID

状态  winlogbeat_winlog_keywords

时间  winlogbeat_@timestamp

名字 winlogbeat_winlog_event_data_SubjectUserName

 winlogbeat_winlog_event_id   6272  登录成功


查询链接时长

winlogbeat_winlog_event_id

20272

查询分配ip地址

winlogbeat_winlog_event_id

20274


案例1.查询用户多少天验证失败的用户(时间根据需求定义)

source: server\-vpn AND "20271" 

所需属性可以根据日志类型定义

案例2.统计一天拨入的次数(时间根据需求定义)

source:server\-vpn AND "6272"

案例3.查询登录连接的时长

source:server-vpn AND winlogbeat_winlog_event_id:20272




举报

相关推荐

0 条评论