Leeasina
commented
1 year ago 同上想问一下有测试接入sysmon的日志吗 另外这边实际使用发现README功能描述不全,是否可以增加”功能测试“的测试模版、”系统设置“里”数据源输出“等配置及插件的测试样例呢,非常感谢!
Open xc134 opened 1 year ago
Leeasina
commented
1 year ago 同上想问一下有测试接入sysmon的日志吗 另外这边实际使用发现README功能描述不全,是否可以增加”功能测试“的测试模版、”系统设置“里”数据源输出“等配置及插件的测试样例呢,非常感谢!
Cgaii
commented
1 year ago Hi、花了两天完成了手动搭建,在5、初始化kafka消费者配置 修改为与kafka集群匹配的Brokers、Topic、Group等信息时,复制的命令提示参数-source无效。根据help显示及6、7。发现-source需要放在前面 改为 ./main source init --sourcename ITEvent
还想咨询下有测试接入sysmon的日志么?有没有规则文件可以参考下。
初始化kafka的命令如下,需要去掉source前的-:
./main init source --sourcename ITEvent --sourceengine event_log --brokers 10.10.10.10:9092 --topic winlogbeat --group sec-ata --oldest false --kafka true
目前watchad开源版的规则暂时不需要依赖sysmon,如果对sysmon比较感兴趣可以参考下Neo23x0大神的https://github.com/Neo23x0/sysmon-config
Cgaii
commented
1 year ago 同上想问一下有测试接入sysmon的日志吗 另外这边实际使用发现README功能描述不全,是否可以增加”功能测试“的测试模版、”系统设置“里”数据源输出“等配置及插件的测试样例呢,非常感谢!
WatchAD开源版的规则暂时不需要依赖sysmon。功能描述我们后续回逐步补充说明的。
Hi、花了两天完成了手动搭建,在5、初始化kafka消费者配置 修改为与kafka集群匹配的Brokers、Topic、Group等信息时,复制的命令提示参数-source无效。根据help显示及6、7。发现-source需要放在前面 改为 ./main source init --sourcename ITEvent
还想咨询下有测试接入sysmon的日志么?有没有规则文件可以参考下。