Closed BrianMer closed 1 month ago
And here is one from Filebeat to Logstash TCP/5044:
{
"_index": "logstash-2024.04",
"_id": "0J-BGY8Bz6W6pw6KAbtI",
"_version": 1,
"_score": 0,
"_ignored": [
"message.keyword",
"event.original.keyword"
],
"_source": {
"ecs": {
"version": "8.0.0"
},
"message": "MSWinEventLog#0112#011Applicatio Apr 26 10:23:17 2024#0111202#011SceCli#011N/A#011N/A#011Warning#011DC-WS2022-Sonde.sonde.ad#011N/A#011#011Les stratégies de sécurité ont été propagées avec avertissement. 0x534 : Le mappage entre les noms de compte et les ID de sécurité n’a pas été effectué. L’Aide avancée pour ce problème est disponible sur https://support.microsoft.com. Recherchez \"troubleshooting 1202 events\". L’erreur 0x534 se produit lorsqu’un compte utilisateur dans un ou plusieurs objets de stratégie de groupe (GPO) n’a pas pu être résolus en identifiant de sécurité. Cette erreur peut être causée par un compte utilisateur incorrect ou un compte utilisateur supprimé référencé soit dans les groupes Droits des Utilisateurs, soit dans une branche de groupes restreints GPO. Pour résoudre cet événement, contacter un administrateur dans le domaine pour effectuer les actions suivantes : 1. Identifiez les comptes n’ayant pas pu être résolus en identifiant de sécurité : À partir de la ligne de commande, entrez : FIND /I \"introuvable\" %SYSTEMROOT%\\Security\\Logs\\winlogon.log La chaîne précédant \"introuvable\" dans la sortie FIND identifie les noms de compte ayant un problème. Exemple : RosalieMignon introuvable. Dans ce cas, le SID pour le nom d’utilisateur \"RosalieMignon\" n’a pas pu être déterminé. Ceci se produit le plus souvent en raison d’un compte supprimé, renommé ou orthographié différemment (par exemple \"RosaliMignon\"). 2. Utilisez RSoP pour identifier les Droits des Utilisateurs, les groupes restreints et les GPO source spécifiques contenant les comptes ayant un problème : a. Démarrer -> Exécuter -> RSoP.msc b. Consultez les résultats de Computer Configuration\\Windows Settings\\Security Settings\\Local Policies\\User Rights Assignment et Computer Configuration\\Windows Settings\\Security Settings\\Local Policies\\Restricted Groups pour toutes erreurs marquées d’un X rouge. c. Pour tout Droit utilisateur ou Groupe restreint marqué d’un X rouge , le GPO correspondant contenant les paramètres de stratégie du problème est listé sous la colonne nommé \"GPO source\". Notez les Droits utilisateur spécifiques, les Groupes restreints et les sources GPO génératrices d’erreurs. 3. Supprimez les comptes non résolus de la stratégie de groupe a. Démarrer -> Exécutez -> MMC.EXE b. À partir du menu fichier, sélectionnez \"Ajouter/Supprimer un composant logiciel enfichable\" c. À partir de la boîte de dialogue \"Ajouter/Supprimer un composant logiciel enfichable\" sélectionnez \"Ajouter...\" d. Dans la boîte de dialogue \"Ajout d’un composant logiciel enfichable autonome\" sélectionnez \"Stratégie de groupe\" et cliquez \"Ajouter\" e. Dans la boîte de dialogue \"Sélectionner l’Objet stratégie de groupe\" cliquez sur le bouton \"Parcourir\". f. Dans la boîte de dialogue \"Parcourir pour un Objet stratégie de groupe\" choisissez l’onglet \"Tout\" g. Pour chaque GPO source identifiée lors de l’étape 2, corrigez les Droits utilisateur ou Groupes restreints marqués d’un X rouge lors de cette étape. Ces Droits utilisateur ou Groupes restreints peuvent être corrigés en supprimant ou corrigeant toutes références aux comptes ayant un problème, identifiés à l’étape 1.#01118288#015",
"@timestamp": "2024-04-26T08:23:17.000Z",
"sof-elk.processing_time": 0.00093198,
"host": {
"architecture": "x86_64",
"mac": [
"BC-24-11-12-C4-4C",
"BC-24-11-46-A4-61",
"BC-24-11-5D-2C-32",
"BC-24-11-A3-6B-1D"
],
"name": "relai-log-srv",
"id": "d71e290da28048c0bc100945fc378362",
"hostname": "relai-log-srv",
"containerized": false,
"ip": [
"10.3.0.196",
"fe80::be24:11ff:fea3:6b1d",
"192.168.151.2",
"fe80::be24:11ff:fe12:c44c",
"192.168.152.1",
"fe80::be24:11ff:fe46:a461",
"192.168.149.2",
"fe80::be24:11ff:fe5d:2c32"
],
"os": {
"kernel": "4.18.0-513.24.1.el8_9.x86_64",
"platform": "rocky",
"codename": "Green Obsidian",
"name": "Rocky Linux",
"type": "linux",
"version": "8.9 (Green Obsidian)",
"family": "redhat"
}
},
"event": {
"severity": 4,
"original": "MSWinEventLog#0112#011Applicatio Apr 26 10:23:17 2024#0111202#011SceCli#011N/A#011N/A#011Warning#011DC-WS2022-Sonde.sonde.ad#011N/A#011#011Les stratégies de sécurité ont été propagées avec avertissement. 0x534 : Le mappage entre les noms de compte et les ID de sécurité n’a pas été effectué. L’Aide avancée pour ce problème est disponible sur https://support.microsoft.com. Recherchez \"troubleshooting 1202 events\". L’erreur 0x534 se produit lorsqu’un compte utilisateur dans un ou plusieurs objets de stratégie de groupe (GPO) n’a pas pu être résolus en identifiant de sécurité. Cette erreur peut être causée par un compte utilisateur incorrect ou un compte utilisateur supprimé référencé soit dans les groupes Droits des Utilisateurs, soit dans une branche de groupes restreints GPO. Pour résoudre cet événement, contacter un administrateur dans le domaine pour effectuer les actions suivantes : 1. Identifiez les comptes n’ayant pas pu être résolus en identifiant de sécurité : À partir de la ligne de commande, entrez : FIND /I \"introuvable\" %SYSTEMROOT%\\Security\\Logs\\winlogon.log La chaîne précédant \"introuvable\" dans la sortie FIND identifie les noms de compte ayant un problème. Exemple : RosalieMignon introuvable. Dans ce cas, le SID pour le nom d’utilisateur \"RosalieMignon\" n’a pas pu être déterminé. Ceci se produit le plus souvent en raison d’un compte supprimé, renommé ou orthographié différemment (par exemple \"RosaliMignon\"). 2. Utilisez RSoP pour identifier les Droits des Utilisateurs, les groupes restreints et les GPO source spécifiques contenant les comptes ayant un problème : a. Démarrer -> Exécuter -> RSoP.msc b. Consultez les résultats de Computer Configuration\\Windows Settings\\Security Settings\\Local Policies\\User Rights Assignment et Computer Configuration\\Windows Settings\\Security Settings\\Local Policies\\Restricted Groups pour toutes erreurs marquées d’un X rouge. c. Pour tout Droit utilisateur ou Groupe restreint marqué d’un X rouge , le GPO correspondant contenant les paramètres de stratégie du problème est listé sous la colonne nommé \"GPO source\". Notez les Droits utilisateur spécifiques, les Groupes restreints et les sources GPO génératrices d’erreurs. 3. Supprimez les comptes non résolus de la stratégie de groupe a. Démarrer -> Exécutez -> MMC.EXE b. À partir du menu fichier, sélectionnez \"Ajouter/Supprimer un composant logiciel enfichable\" c. À partir de la boîte de dialogue \"Ajouter/Supprimer un composant logiciel enfichable\" sélectionnez \"Ajouter...\" d. Dans la boîte de dialogue \"Ajout d’un composant logiciel enfichable autonome\" sélectionnez \"Stratégie de groupe\" et cliquez \"Ajouter\" e. Dans la boîte de dialogue \"Sélectionner l’Objet stratégie de groupe\" cliquez sur le bouton \"Parcourir\". f. Dans la boîte de dialogue \"Parcourir pour un Objet stratégie de groupe\" choisissez l’onglet \"Tout\" g. Pour chaque GPO source identifiée lors de l’étape 2, corrigez les Droits utilisateur ou Groupes restreints marqués d’un X rouge lors de cette étape. Ces Droits utilisateur ou Groupes restreints peuvent être corrigés en supprimant ou corrigeant toutes références aux comptes ayant un problème, identifiés à l’étape 1.#01118288#015"
},
"syslog": {
"facility": 1,
"priority": 12,
"severity_label": "Warning",
"facility_label": "user-level"
},
"log": {
"source": {
"address": "192.168.151.1:59392"
}
},
"@version": "1",
"hostname": "DC-WS2022-Sonde.sonde.ad",
"tags": [
"process_archive",
"filebeat",
"beats_input_codec_plain_applied"
],
"input": {
"type": "syslog"
},
"agent": {
"id": "156e0c6e-7748-4b13-9ad9-dc0a4a2dd575",
"ephemeral_id": "4c718a07-0856-49dc-90e6-9503f73b7d54",
"type": "filebeat",
"version": "8.13.2",
"name": "relai-LOG-SRV"
}
},
"fields": {
"agent.version.keyword": [
"8.13.2"
],
"host.architecture.keyword": [
"x86_64"
],
"syslog.severity_label.keyword": [
"Warning"
],
"host.name.keyword": [
"relai-log-srv"
],
"host.hostname": [
"relai-log-srv"
],
"host.mac": [
"BC-24-11-12-C4-4C",
"BC-24-11-46-A4-61",
"BC-24-11-5D-2C-32",
"BC-24-11-A3-6B-1D"
],
"hostname": [
"DC-WS2022-Sonde.sonde.ad"
],
"ecs.version.keyword": [
"8.0.0"
],
"host.os.version": [
"8.9 (Green Obsidian)"
],
"host.os.name": [
"Rocky Linux"
],
"agent.name": [
"relai-LOG-SRV"
],
"host.id.keyword": [
"d71e290da28048c0bc100945fc378362"
],
"host.name": [
"relai-log-srv"
],
"host.os.version.keyword": [
"8.9 (Green Obsidian)"
],
"event.severity": [
4
],
"event.original": [
"MSWinEventLog#0112#011Applicatio Apr 26 10:23:17 2024#0111202#011SceCli#011N/A#011N/A#011Warning#011DC-WS2022-Sonde.sonde.ad#011N/A#011#011Les stratégies de sécurité ont été propagées avec avertissement. 0x534 : Le mappage entre les noms de compte et les ID de sécurité n’a pas été effectué. L’Aide avancée pour ce problème est disponible sur https://support.microsoft.com. Recherchez \"troubleshooting 1202 events\". L’erreur 0x534 se produit lorsqu’un compte utilisateur dans un ou plusieurs objets de stratégie de groupe (GPO) n’a pas pu être résolus en identifiant de sécurité. Cette erreur peut être causée par un compte utilisateur incorrect ou un compte utilisateur supprimé référencé soit dans les groupes Droits des Utilisateurs, soit dans une branche de groupes restreints GPO. Pour résoudre cet événement, contacter un administrateur dans le domaine pour effectuer les actions suivantes : 1. Identifiez les comptes n’ayant pas pu être résolus en identifiant de sécurité : À partir de la ligne de commande, entrez : FIND /I \"introuvable\" %SYSTEMROOT%\\Security\\Logs\\winlogon.log La chaîne précédant \"introuvable\" dans la sortie FIND identifie les noms de compte ayant un problème. Exemple : RosalieMignon introuvable. Dans ce cas, le SID pour le nom d’utilisateur \"RosalieMignon\" n’a pas pu être déterminé. Ceci se produit le plus souvent en raison d’un compte supprimé, renommé ou orthographié différemment (par exemple \"RosaliMignon\"). 2. Utilisez RSoP pour identifier les Droits des Utilisateurs, les groupes restreints et les GPO source spécifiques contenant les comptes ayant un problème : a. Démarrer -> Exécuter -> RSoP.msc b. Consultez les résultats de Computer Configuration\\Windows Settings\\Security Settings\\Local Policies\\User Rights Assignment et Computer Configuration\\Windows Settings\\Security Settings\\Local Policies\\Restricted Groups pour toutes erreurs marquées d’un X rouge. c. Pour tout Droit utilisateur ou Groupe restreint marqué d’un X rouge , le GPO correspondant contenant les paramètres de stratégie du problème est listé sous la colonne nommé \"GPO source\". Notez les Droits utilisateur spécifiques, les Groupes restreints et les sources GPO génératrices d’erreurs. 3. Supprimez les comptes non résolus de la stratégie de groupe a. Démarrer -> Exécutez -> MMC.EXE b. À partir du menu fichier, sélectionnez \"Ajouter/Supprimer un composant logiciel enfichable\" c. À partir de la boîte de dialogue \"Ajouter/Supprimer un composant logiciel enfichable\" sélectionnez \"Ajouter...\" d. Dans la boîte de dialogue \"Ajout d’un composant logiciel enfichable autonome\" sélectionnez \"Stratégie de groupe\" et cliquez \"Ajouter\" e. Dans la boîte de dialogue \"Sélectionner l’Objet stratégie de groupe\" cliquez sur le bouton \"Parcourir\". f. Dans la boîte de dialogue \"Parcourir pour un Objet stratégie de groupe\" choisissez l’onglet \"Tout\" g. Pour chaque GPO source identifiée lors de l’étape 2, corrigez les Droits utilisateur ou Groupes restreints marqués d’un X rouge lors de cette étape. Ces Droits utilisateur ou Groupes restreints peuvent être corrigés en supprimant ou corrigeant toutes références aux comptes ayant un problème, identifiés à l’étape 1.#01118288#015"
],
"host.os.type": [
"linux"
],
"agent.id.keyword": [
"156e0c6e-7748-4b13-9ad9-dc0a4a2dd575"
],
"input.type": [
"syslog"
],
"tags": [
"process_archive",
"filebeat",
"beats_input_codec_plain_applied"
],
"host.architecture": [
"x86_64"
],
"agent.id": [
"156e0c6e-7748-4b13-9ad9-dc0a4a2dd575"
],
"ecs.version": [
"8.0.0"
],
"host.containerized": [
false
],
"log.source.address": [
"192.168.151.1:59392"
],
"sof-elk.processing_time": [
0.00093198
],
"host.hostname.keyword": [
"relai-log-srv"
],
"agent.version": [
"8.13.2"
],
"host.os.family": [
"redhat"
],
"hostname.keyword": [
"DC-WS2022-Sonde.sonde.ad"
],
"input.type.keyword": [
"syslog"
],
"tags.keyword": [
"process_archive",
"filebeat",
"beats_input_codec_plain_applied"
],
"syslog.facility": [
1
],
"host.ip": [
"10.3.0.196",
"fe80::be24:11ff:fea3:6b1d",
"192.168.151.2",
"fe80::be24:11ff:fe12:c44c",
"192.168.152.1",
"fe80::be24:11ff:fe46:a461",
"192.168.149.2",
"fe80::be24:11ff:fe5d:2c32"
],
"agent.type": [
"filebeat"
],
"host.os.kernel.keyword": [
"4.18.0-513.24.1.el8_9.x86_64"
],
"host.os.kernel": [
"4.18.0-513.24.1.el8_9.x86_64"
],
"@version": [
"1"
],
"host.os.name.keyword": [
"Rocky Linux"
],
"host.id": [
"d71e290da28048c0bc100945fc378362"
],
"agent.type.keyword": [
"filebeat"
],
"agent.ephemeral_id.keyword": [
"4c718a07-0856-49dc-90e6-9503f73b7d54"
],
"host.os.codename.keyword": [
"Green Obsidian"
],
"host.mac.keyword": [
"BC-24-11-12-C4-4C",
"BC-24-11-46-A4-61",
"BC-24-11-5D-2C-32",
"BC-24-11-A3-6B-1D"
],
"agent.name.keyword": [
"relai-LOG-SRV"
],
"syslog.priority": [
12
],
"host.os.codename": [
"Green Obsidian"
],
"message": [
"MSWinEventLog#0112#011Applicatio Apr 26 10:23:17 2024#0111202#011SceCli#011N/A#011N/A#011Warning#011DC-WS2022-Sonde.sonde.ad#011N/A#011#011Les stratégies de sécurité ont été propagées avec avertissement. 0x534 : Le mappage entre les noms de compte et les ID de sécurité n’a pas été effectué. L’Aide avancée pour ce problème est disponible sur https://support.microsoft.com. Recherchez \"troubleshooting 1202 events\". L’erreur 0x534 se produit lorsqu’un compte utilisateur dans un ou plusieurs objets de stratégie de groupe (GPO) n’a pas pu être résolus en identifiant de sécurité. Cette erreur peut être causée par un compte utilisateur incorrect ou un compte utilisateur supprimé référencé soit dans les groupes Droits des Utilisateurs, soit dans une branche de groupes restreints GPO. Pour résoudre cet événement, contacter un administrateur dans le domaine pour effectuer les actions suivantes : 1. Identifiez les comptes n’ayant pas pu être résolus en identifiant de sécurité : À partir de la ligne de commande, entrez : FIND /I \"introuvable\" %SYSTEMROOT%\\Security\\Logs\\winlogon.log La chaîne précédant \"introuvable\" dans la sortie FIND identifie les noms de compte ayant un problème. Exemple : RosalieMignon introuvable. Dans ce cas, le SID pour le nom d’utilisateur \"RosalieMignon\" n’a pas pu être déterminé. Ceci se produit le plus souvent en raison d’un compte supprimé, renommé ou orthographié différemment (par exemple \"RosaliMignon\"). 2. Utilisez RSoP pour identifier les Droits des Utilisateurs, les groupes restreints et les GPO source spécifiques contenant les comptes ayant un problème : a. Démarrer -> Exécuter -> RSoP.msc b. Consultez les résultats de Computer Configuration\\Windows Settings\\Security Settings\\Local Policies\\User Rights Assignment et Computer Configuration\\Windows Settings\\Security Settings\\Local Policies\\Restricted Groups pour toutes erreurs marquées d’un X rouge. c. Pour tout Droit utilisateur ou Groupe restreint marqué d’un X rouge , le GPO correspondant contenant les paramètres de stratégie du problème est listé sous la colonne nommé \"GPO source\". Notez les Droits utilisateur spécifiques, les Groupes restreints et les sources GPO génératrices d’erreurs. 3. Supprimez les comptes non résolus de la stratégie de groupe a. Démarrer -> Exécutez -> MMC.EXE b. À partir du menu fichier, sélectionnez \"Ajouter/Supprimer un composant logiciel enfichable\" c. À partir de la boîte de dialogue \"Ajouter/Supprimer un composant logiciel enfichable\" sélectionnez \"Ajouter...\" d. Dans la boîte de dialogue \"Ajout d’un composant logiciel enfichable autonome\" sélectionnez \"Stratégie de groupe\" et cliquez \"Ajouter\" e. Dans la boîte de dialogue \"Sélectionner l’Objet stratégie de groupe\" cliquez sur le bouton \"Parcourir\". f. Dans la boîte de dialogue \"Parcourir pour un Objet stratégie de groupe\" choisissez l’onglet \"Tout\" g. Pour chaque GPO source identifiée lors de l’étape 2, corrigez les Droits utilisateur ou Groupes restreints marqués d’un X rouge lors de cette étape. Ces Droits utilisateur ou Groupes restreints peuvent être corrigés en supprimant ou corrigeant toutes références aux comptes ayant un problème, identifiés à l’étape 1.#01118288#015"
],
"host.os.family.keyword": [
"redhat"
],
"@timestamp": [
"2024-04-26T08:23:17.000Z"
],
"host.os.type.keyword": [
"linux"
],
"syslog.severity_label": [
"Warning"
],
"host.os.platform": [
"rocky"
],
"host.os.platform.keyword": [
"rocky"
],
"agent.ephemeral_id": [
"4c718a07-0856-49dc-90e6-9503f73b7d54"
],
"syslog.facility_label": [
"user-level"
],
"log.source.address.keyword": [
"192.168.151.1:59392"
],
"syslog.facility_label.keyword": [
"user-level"
]
},
"ignored_field_values": {
"message.keyword": [
"MSWinEventLog#0112#011Applicatio Apr 26 10:23:17 2024#0111202#011SceCli#011N/A#011N/A#011Warning#011DC-WS2022-Sonde.sonde.ad#011N/A#011#011Les stratégies de sécurité ont été propagées avec avertissement. 0x534 : Le mappage entre les noms de compte et les ID de sécurité n’a pas été effectué. L’Aide avancée pour ce problème est disponible sur https://support.microsoft.com. Recherchez \"troubleshooting 1202 events\". L’erreur 0x534 se produit lorsqu’un compte utilisateur dans un ou plusieurs objets de stratégie de groupe (GPO) n’a pas pu être résolus en identifiant de sécurité. Cette erreur peut être causée par un compte utilisateur incorrect ou un compte utilisateur supprimé référencé soit dans les groupes Droits des Utilisateurs, soit dans une branche de groupes restreints GPO. Pour résoudre cet événement, contacter un administrateur dans le domaine pour effectuer les actions suivantes : 1. Identifiez les comptes n’ayant pas pu être résolus en identifiant de sécurité : À partir de la ligne de commande, entrez : FIND /I \"introuvable\" %SYSTEMROOT%\\Security\\Logs\\winlogon.log La chaîne précédant \"introuvable\" dans la sortie FIND identifie les noms de compte ayant un problème. Exemple : RosalieMignon introuvable. Dans ce cas, le SID pour le nom d’utilisateur \"RosalieMignon\" n’a pas pu être déterminé. Ceci se produit le plus souvent en raison d’un compte supprimé, renommé ou orthographié différemment (par exemple \"RosaliMignon\"). 2. Utilisez RSoP pour identifier les Droits des Utilisateurs, les groupes restreints et les GPO source spécifiques contenant les comptes ayant un problème : a. Démarrer -> Exécuter -> RSoP.msc b. Consultez les résultats de Computer Configuration\\Windows Settings\\Security Settings\\Local Policies\\User Rights Assignment et Computer Configuration\\Windows Settings\\Security Settings\\Local Policies\\Restricted Groups pour toutes erreurs marquées d’un X rouge. c. Pour tout Droit utilisateur ou Groupe restreint marqué d’un X rouge , le GPO correspondant contenant les paramètres de stratégie du problème est listé sous la colonne nommé \"GPO source\". Notez les Droits utilisateur spécifiques, les Groupes restreints et les sources GPO génératrices d’erreurs. 3. Supprimez les comptes non résolus de la stratégie de groupe a. Démarrer -> Exécutez -> MMC.EXE b. À partir du menu fichier, sélectionnez \"Ajouter/Supprimer un composant logiciel enfichable\" c. À partir de la boîte de dialogue \"Ajouter/Supprimer un composant logiciel enfichable\" sélectionnez \"Ajouter...\" d. Dans la boîte de dialogue \"Ajout d’un composant logiciel enfichable autonome\" sélectionnez \"Stratégie de groupe\" et cliquez \"Ajouter\" e. Dans la boîte de dialogue \"Sélectionner l’Objet stratégie de groupe\" cliquez sur le bouton \"Parcourir\". f. Dans la boîte de dialogue \"Parcourir pour un Objet stratégie de groupe\" choisissez l’onglet \"Tout\" g. Pour chaque GPO source identifiée lors de l’étape 2, corrigez les Droits utilisateur ou Groupes restreints marqués d’un X rouge lors de cette étape. Ces Droits utilisateur ou Groupes restreints peuvent être corrigés en supprimant ou corrigeant toutes références aux comptes ayant un problème, identifiés à l’étape 1.#01118288#015"
],
"event.original.keyword": [
"MSWinEventLog#0112#011Applicatio Apr 26 10:23:17 2024#0111202#011SceCli#011N/A#011N/A#011Warning#011DC-WS2022-Sonde.sonde.ad#011N/A#011#011Les stratégies de sécurité ont été propagées avec avertissement. 0x534 : Le mappage entre les noms de compte et les ID de sécurité n’a pas été effectué. L’Aide avancée pour ce problème est disponible sur https://support.microsoft.com. Recherchez \"troubleshooting 1202 events\". L’erreur 0x534 se produit lorsqu’un compte utilisateur dans un ou plusieurs objets de stratégie de groupe (GPO) n’a pas pu être résolus en identifiant de sécurité. Cette erreur peut être causée par un compte utilisateur incorrect ou un compte utilisateur supprimé référencé soit dans les groupes Droits des Utilisateurs, soit dans une branche de groupes restreints GPO. Pour résoudre cet événement, contacter un administrateur dans le domaine pour effectuer les actions suivantes : 1. Identifiez les comptes n’ayant pas pu être résolus en identifiant de sécurité : À partir de la ligne de commande, entrez : FIND /I \"introuvable\" %SYSTEMROOT%\\Security\\Logs\\winlogon.log La chaîne précédant \"introuvable\" dans la sortie FIND identifie les noms de compte ayant un problème. Exemple : RosalieMignon introuvable. Dans ce cas, le SID pour le nom d’utilisateur \"RosalieMignon\" n’a pas pu être déterminé. Ceci se produit le plus souvent en raison d’un compte supprimé, renommé ou orthographié différemment (par exemple \"RosaliMignon\"). 2. Utilisez RSoP pour identifier les Droits des Utilisateurs, les groupes restreints et les GPO source spécifiques contenant les comptes ayant un problème : a. Démarrer -> Exécuter -> RSoP.msc b. Consultez les résultats de Computer Configuration\\Windows Settings\\Security Settings\\Local Policies\\User Rights Assignment et Computer Configuration\\Windows Settings\\Security Settings\\Local Policies\\Restricted Groups pour toutes erreurs marquées d’un X rouge. c. Pour tout Droit utilisateur ou Groupe restreint marqué d’un X rouge , le GPO correspondant contenant les paramètres de stratégie du problème est listé sous la colonne nommé \"GPO source\". Notez les Droits utilisateur spécifiques, les Groupes restreints et les sources GPO génératrices d’erreurs. 3. Supprimez les comptes non résolus de la stratégie de groupe a. Démarrer -> Exécutez -> MMC.EXE b. À partir du menu fichier, sélectionnez \"Ajouter/Supprimer un composant logiciel enfichable\" c. À partir de la boîte de dialogue \"Ajouter/Supprimer un composant logiciel enfichable\" sélectionnez \"Ajouter...\" d. Dans la boîte de dialogue \"Ajout d’un composant logiciel enfichable autonome\" sélectionnez \"Stratégie de groupe\" et cliquez \"Ajouter\" e. Dans la boîte de dialogue \"Sélectionner l’Objet stratégie de groupe\" cliquez sur le bouton \"Parcourir\". f. Dans la boîte de dialogue \"Parcourir pour un Objet stratégie de groupe\" choisissez l’onglet \"Tout\" g. Pour chaque GPO source identifiée lors de l’étape 2, corrigez les Droits utilisateur ou Groupes restreints marqués d’un X rouge lors de cette étape. Ces Droits utilisateur ou Groupes restreints peuvent être corrigés en supprimant ou corrigeant toutes références aux comptes ayant un problème, identifiés à l’étape 1.#01118288#015"
]
}
}
is the system running the Snare forwarder using a custom configuration, by chance? The value reflected in event.original
doesn't seem to match the spec. In your samples, the event_logsource
looks like a truncation of Application
and it is missing the snare_counter
field between what I suspect is Application
and the date value.
(Also note that the #011
strings are a syslogd replacement for Snare's tab separators, so depending on where you observe the log event, it could be a literal tab or the replacement.)
The above commit didn't fix this, BTW. Still trying to get to the bottom of it.
I am using Nxlog on Windows hosts with that config:
########################################
# Modules #
########################################
<Extension converter>
Module xm_charconv
AutodetectCharsets utf-8, euc-jp, utf-16, utf-32, iso8859-2
</Extension>
<Input in_msvistalog>
Module im_msvistalog
<QueryXML>
<QueryList>
<Query Id="0">
<Select Path="Application">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="Security">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
<Select Path="System">*[System[(Level=1 or Level=2 or Level=3)]]</Select>
</Query>
</QueryList>
</QueryXML>
Exec convert_fields("auto", "utf-8");
</Input>
<Output out_mssyslog>
Module om_tcp
Host 192.168.147.200
Port 514
Exec to_syslog_snare();
</Output>
<Route eventlog_syslog>
Path in_msvistalog => out_mssyslog
</Route>
thanks! this is interesting - I'm thinking there may be something funky with either NXLog's processing since even their own examples show the MSWinEventLog
is not truncated, as you're seeing. I will have to try with some native Snare shipping on my end to see if I can replicate that on pure Snare, then we can figure out if NXLog has anything to do with it.
<11>Nov 1 18:52:56 NXLOG-AGENT MSWinEventLog 3 Security 2 Thu Nov 01 18:52:56 2018 4625 Microsoft-Windows-Security-Auditing N/A N/A Fai...
FYI, this is one of the original event in my log collector from the NXLog agents:
Apr 30 17:57:17 WSUS-WS2022-Sonde.sonde.ad MSWinEventLog#0112#011Application#01129#011Tue Apr 30 17:57:17 2024#01110021#011Windows Server Update Services#011N/A#011N/A#011Warning#011WSUS-WS2022-Sonde.sonde.ad#011Base#011#011La dernière synchronisation du catalogue a été effectuée il y a 1 jours ou plus.#0117536#015
As you can see, the Application
is not truncated.
ooooh..... ok I might be stumped. I wonder where that is being truncated. Perhaps an odd question, but are you able to create a pcap file with one or a few of the messages being sent to TCP/5514? I'm 95% certain that the message is somehow being transmitted with the truncated content since the event.original
fields reflects that. However, if we can confirm that the inbound message is out of spec, it would rule out any oddities of the early logstash pipeline that triggers prior to the SOF-ELK parsers.
(just for my awareness/memory, the truncated bytes are n#01129
.)
OK it seems that you are right. Here is a network capture betweek my relay and the SOF-ELK VM.
The message is truncated before being parsed by SOF-ELK...
The thing that I do not understand is that, I do not do any parsing on the Syslog messages, I just collect, and transmit to SOF-ELK through my relay...
Interesting! While not a complete answer, this is very helpful. I'm not sure what the culprit may be, but thankful it's not a phantom truncation in the parser or underlying code!
Given that discovery, though, are you ok if we close this issue? We can always re-open it if something is later found to be parser-related.
For once, I do not agree with closing this issue :smile:.
I just retested with a full log from my collector directly into /logstash/syslog
in the VM, and I encountered errors which prevent the log to be parsed, and displayed.
Here is the log from Logstash:
mai 03 08:52:53 sof-elk logstash[695]: [2024-05-03T08:52:53,028][WARN ][logstash.outputs.elasticsearch][main][335b93ee78d360e7394de440a332999b5d26c148ee6ea37e0944c3577ac0053a] Could not index event to Elasticsearch. {:status=>400, :action=>["index", {:_id=>nil, :_index=>"logstash-2024.04", :routing=>nil}, {"event_logsource"=>"10021", "event_criticality"=>"Apr 25 17:44:00 2024", "ecs"=>{"version"=>"8.0.0"}, "sof-elk.processing_time"=>0.00507188, "snare_counter"=>"Windows Server Update Services", "@timestamp"=>2024-04-25T17:44:00.000Z, "@version"=>"1", "received_at"=>"2024-05-03T08:52:41.427Z", "event_datetime_system_tz"=>"N/A", "event_logtype"=>"La dernière synchronisation du catalogue a été effectuée il y a 1 jours ou plus.", "hostname"=>"6988", "event_sidtype"=>"Base", "event_id"=>"N/A", "agent"=>{"id"=>"00a4e106-3497-4193-a785-476ebe8d468c", "type"=>"filebeat", "ephemeral_id"=>"cb2d60c9-f9b7-4685-b960-41b07c7f2f04", "version"=>"8.13.2", "name"=>"sof-elk"}, "username"=>"WSUS-WS2022-Sonde.sonde.ad", "host"=>{"name"=>"sof-elk"}, "event"=>{"original"=>"Apr 25 17:44:00 WSUS-WS2022-Sonde.sonde.ad MSWinEventLog#0112#011Application#0119#011Thu Apr 25 17:44:00 2024#01110021#011Windows Server Update Services#011N/A#011N/A#011Warning#011WSUS-WS2022-Sonde.sonde.ad#011Base#011#011La dernière synchronisation du catalogue a été effectuée il y a 1 jours ou plus.#0116988#015"}, "tags"=>["process_archive", "filebeat", "beats_input_codec_plain_applied", "snare_log", "_gpfail", "fail_sl03", "_dateparsefailure", "_grokparsefailure"], "path"=>"filebeat: sof-elk:/logstash/syslog/log_wsus_test_application.log", "type"=>"syslog", "log"=>{"offset"=>0, "file"=>{"path"=>"/logstash/syslog/log_wsus_test_application.log", "inode"=>"68807910", "device_id"=>"64768"}, "syslog"=>{"appname"=>"Warning", "hostname"=>"wsus-ws2022-sonde.sonde.ad"}}, "event_source"=>"Warning", "input"=>{"type"=>"filestream"}}], :response=>{"index"=>{"status"=>400, "error"=>{"type"=>"document_parsing_exception", "reason"=>"[1:48] failed to parse field [event_criticality] of type [long] in document with id '3NSoPY8BMTUrCuluBgOj'. Preview of field's value: 'Apr 25 17:44:00 2024'", "caused_by"=>{"type"=>"illegal_argument_exception", "reason"=>"For input string: \"Apr 25 17:44:00 2024\""}}}}}
Here is the full log:
Apr 25 17:44:00 WSUS-WS2022-Sonde.sonde.ad MSWinEventLog#0112#011Application#0119#011Thu Apr 25 17:44:00 2024#01110021#011Windows Server Update Services#011N/A#011N/A#011Warning#011WSUS-WS2022-Sonde.sonde.ad#011Base#011#011La dernière synchronisation du catalogue a été effectuée il y a 1 jours ou plus.#0116988#015
aha!! great find - I see the problem and am working on a solution.
OK - thanks for your patience. This should be ready for validation now with commit 563d25f5fce2854da4a44d7facf76833720f0ced.
It seems like this is working:
{
"_index": "logstash-2024.04",
"_id": "ItRdTo8BMTUrCuluj3g0",
"_version": 1,
"_score": 0,
"_ignored": [
"event.original.keyword",
"message.keyword"
],
"_source": {
"event_datetime_system_tz": "2024-04-28T16:53:15.000Z",
"log": {
"offset": 0,
"file": {
"path": "/logstash/syslog/log_dc_test_system_after_update.log",
"device_id": "64768",
"inode": "67732417"
},
"syslog": {
"appname": "Microsoft-Windows-Time-Service",
"hostname": "dc-ws2022-sonde.sonde.ad"
}
},
"received_at": "2024-05-06T14:44:52.368Z",
"@timestamp": "2024-04-28T16:53:15.000Z",
"event": {
"original": "Apr 28 16:53:15 DC-WS2022-Sonde.sonde.ad MSWinEventLog#0112#011System#011855#011Sun Apr 28 16:53:15 2024#01136#011Microsoft-Windows-Time-Service#011SERVICE LOCAL#011Well Known Group#011Warning#011DC-WS2022-Sonde.sonde.ad#011N/A#011#011Le service de temps n’a pas été synchronisé avec l’heure du système pendant les 86400 dernières secondes, car aucun des fournisseurs de service de temps n’a fourni d’horodatage utilisable. Le service de temps ne mettra pas à jour l’heure du système local avant de s’être synchronisé avec une source de temps. Si le système local est configuré en tant que serveur de temps pour les clients, il arrêtera de s’annoncer comme source de temps aux clients après 0 secondes. Le service de temps continuera d’essayer et de synchroniser l’heure avec ses sources de temps. Vérifiez la présence d’autres événements W32time dans le journal des événements du système pour plus de détails. Exécutez w32tm /resync pour forcer une synchronisation d’heure instantanée. Vous pouvez contrôler la fréquence de la redécouverte de la source de temps à l’aide du paramètre de configuration ClockHoldoverPeriod W32time. Modifiez le paramètre de configuration EventLogFlags W32time si vous souhaitez désactiver ce message.#011118644#015"
},
"ecs": {
"version": "8.0.0"
},
"hostname": "DC-WS2022-Sonde.sonde.ad",
"event_source_id": 118644,
"event_sidtype": "Well Known Group",
"tags": [
"process_archive",
"filebeat",
"beats_input_codec_plain_applied",
"snare_log",
"_grokparsefailure_sl03",
"_grokparsefailure"
],
"@version": "1",
"event_logsource": "System",
"input": {
"type": "filestream"
},
"event_id": 36,
"message": "Le service de temps n’a pas été synchronisé avec l’heure du système pendant les 86400 dernières secondes, car aucun des fournisseurs de service de temps n’a fourni d’horodatage utilisable. Le service de temps ne mettra pas à jour l’heure du système local avant de s’être synchronisé avec une source de temps. Si le système local est configuré en tant que serveur de temps pour les clients, il arrêtera de s’annoncer comme source de temps aux clients après 0 secondes. Le service de temps continuera d’essayer et de synchroniser l’heure avec ses sources de temps. Vérifiez la présence d’autres événements W32time dans le journal des événements du système pour plus de détails. Exécutez w32tm /resync pour forcer une synchronisation d’heure instantanée. Vous pouvez contrôler la fréquence de la redécouverte de la source de temps à l’aide du paramètre de configuration ClockHoldoverPeriod W32time. Modifiez le paramètre de configuration EventLogFlags W32time si vous souhaitez désactiver ce message.",
"username": "SERVICE LOCAL",
"event_source": "Microsoft-Windows-Time-Service",
"host": {
"name": "sof-elk"
},
"event_category": "N/A",
"snare_counter": 855,
"path": "filebeat: sof-elk:/logstash/syslog/log_dc_test_system_after_update.log",
"event_criticality": 2,
"sof-elk.processing_time": 0.40146422,
"type": "syslog",
"agent": {
"id": "00a4e106-3497-4193-a785-476ebe8d468c",
"type": "filebeat",
"ephemeral_id": "6a6858c7-9d16-4d48-b232-3682460dd004",
"name": "sof-elk",
"version": "8.13.2"
},
"event_logtype": "Warning"
},
"fields": {
"agent.version.keyword": [
"8.13.2"
],
"event_logtype": [
"Warning"
],
"host.name.keyword": [
"sof-elk"
],
"event_source": [
"Microsoft-Windows-Time-Service"
],
"type": [
"syslog"
],
"event_sidtype.keyword": [
"Well Known Group"
],
"username.keyword": [
"SERVICE LOCAL"
],
"path": [
"filebeat: sof-elk:/logstash/syslog/log_dc_test_system_after_update.log"
],
"hostname": [
"DC-WS2022-Sonde.sonde.ad"
],
"ecs.version.keyword": [
"8.0.0"
],
"type.keyword": [
"syslog"
],
"agent.name": [
"sof-elk"
],
"event_criticality": [
2
],
"host.name": [
"sof-elk"
],
"event_logsource": [
"System"
],
"event_logsource.keyword": [
"System"
],
"event_source_id": [
118644
],
"event.original": [
"Apr 28 16:53:15 DC-WS2022-Sonde.sonde.ad MSWinEventLog#0112#011System#011855#011Sun Apr 28 16:53:15 2024#01136#011Microsoft-Windows-Time-Service#011SERVICE LOCAL#011Well Known Group#011Warning#011DC-WS2022-Sonde.sonde.ad#011N/A#011#011Le service de temps n’a pas été synchronisé avec l’heure du système pendant les 86400 dernières secondes, car aucun des fournisseurs de service de temps n’a fourni d’horodatage utilisable. Le service de temps ne mettra pas à jour l’heure du système local avant de s’être synchronisé avec une source de temps. Si le système local est configuré en tant que serveur de temps pour les clients, il arrêtera de s’annoncer comme source de temps aux clients après 0 secondes. Le service de temps continuera d’essayer et de synchroniser l’heure avec ses sources de temps. Vérifiez la présence d’autres événements W32time dans le journal des événements du système pour plus de détails. Exécutez w32tm /resync pour forcer une synchronisation d’heure instantanée. Vous pouvez contrôler la fréquence de la redécouverte de la source de temps à l’aide du paramètre de configuration ClockHoldoverPeriod W32time. Modifiez le paramètre de configuration EventLogFlags W32time si vous souhaitez désactiver ce message.#011118644#015"
],
"event_sidtype": [
"Well Known Group"
],
"event_datetime_system_tz": [
"2024-04-28T16:53:15.000Z"
],
"agent.id.keyword": [
"00a4e106-3497-4193-a785-476ebe8d468c"
],
"input.type": [
"filestream"
],
"log.offset": [
0
],
"tags": [
"process_archive",
"filebeat",
"beats_input_codec_plain_applied",
"snare_log",
"_grokparsefailure_sl03",
"_grokparsefailure"
],
"event_category.keyword": [
"N/A"
],
"agent.id": [
"00a4e106-3497-4193-a785-476ebe8d468c"
],
"ecs.version": [
"8.0.0"
],
"sof-elk.processing_time": [
0.40146422
],
"agent.version": [
"8.13.2"
],
"hostname.keyword": [
"DC-WS2022-Sonde.sonde.ad"
],
"input.type.keyword": [
"filestream"
],
"log.syslog.hostname": [
"dc-ws2022-sonde.sonde.ad"
],
"log.syslog.appname": [
"Microsoft-Windows-Time-Service"
],
"tags.keyword": [
"process_archive",
"filebeat",
"beats_input_codec_plain_applied",
"snare_log",
"_grokparsefailure_sl03",
"_grokparsefailure"
],
"log.file.inode.keyword": [
"67732417"
],
"agent.type": [
"filebeat"
],
"log.file.device_id": [
"64768"
],
"@version": [
"1"
],
"log.file.device_id.keyword": [
"64768"
],
"event_logtype.keyword": [
"Warning"
],
"log.file.path.keyword": [
"/logstash/syslog/log_dc_test_system_after_update.log"
],
"agent.type.keyword": [
"filebeat"
],
"agent.ephemeral_id.keyword": [
"6a6858c7-9d16-4d48-b232-3682460dd004"
],
"log.syslog.appname.keyword": [
"Microsoft-Windows-Time-Service"
],
"agent.name.keyword": [
"sof-elk"
],
"event_source.keyword": [
"Microsoft-Windows-Time-Service"
],
"snare_counter": [
855
],
"event_datetime_system_tz.keyword": [
"2024-04-28T16:53:15.000Z"
],
"event_category": [
"N/A"
],
"message": [
"Le service de temps n’a pas été synchronisé avec l’heure du système pendant les 86400 dernières secondes, car aucun des fournisseurs de service de temps n’a fourni d’horodatage utilisable. Le service de temps ne mettra pas à jour l’heure du système local avant de s’être synchronisé avec une source de temps. Si le système local est configuré en tant que serveur de temps pour les clients, il arrêtera de s’annoncer comme source de temps aux clients après 0 secondes. Le service de temps continuera d’essayer et de synchroniser l’heure avec ses sources de temps. Vérifiez la présence d’autres événements W32time dans le journal des événements du système pour plus de détails. Exécutez w32tm /resync pour forcer une synchronisation d’heure instantanée. Vous pouvez contrôler la fréquence de la redécouverte de la source de temps à l’aide du paramètre de configuration ClockHoldoverPeriod W32time. Modifiez le paramètre de configuration EventLogFlags W32time si vous souhaitez désactiver ce message."
],
"log.syslog.hostname.keyword": [
"dc-ws2022-sonde.sonde.ad"
],
"@timestamp": [
"2024-04-28T16:53:15.000Z"
],
"event_id": [
"36"
],
"log.file.inode": [
"67732417"
],
"received_at": [
"2024-05-06T14:44:52.368Z"
],
"log.file.path": [
"/logstash/syslog/log_dc_test_system_after_update.log"
],
"agent.ephemeral_id": [
"6a6858c7-9d16-4d48-b232-3682460dd004"
],
"event_id.keyword": [
"36"
],
"username": [
"SERVICE LOCAL"
]
},
"ignored_field_values": {
"message.keyword": [
"Le service de temps n’a pas été synchronisé avec l’heure du système pendant les 86400 dernières secondes, car aucun des fournisseurs de service de temps n’a fourni d’horodatage utilisable. Le service de temps ne mettra pas à jour l’heure du système local avant de s’être synchronisé avec une source de temps. Si le système local est configuré en tant que serveur de temps pour les clients, il arrêtera de s’annoncer comme source de temps aux clients après 0 secondes. Le service de temps continuera d’essayer et de synchroniser l’heure avec ses sources de temps. Vérifiez la présence d’autres événements W32time dans le journal des événements du système pour plus de détails. Exécutez w32tm /resync pour forcer une synchronisation d’heure instantanée. Vous pouvez contrôler la fréquence de la redécouverte de la source de temps à l’aide du paramètre de configuration ClockHoldoverPeriod W32time. Modifiez le paramètre de configuration EventLogFlags W32time si vous souhaitez désactiver ce message."
],
"event.original.keyword": [
"Apr 28 16:53:15 DC-WS2022-Sonde.sonde.ad MSWinEventLog#0112#011System#011855#011Sun Apr 28 16:53:15 2024#01136#011Microsoft-Windows-Time-Service#011SERVICE LOCAL#011Well Known Group#011Warning#011DC-WS2022-Sonde.sonde.ad#011N/A#011#011Le service de temps n’a pas été synchronisé avec l’heure du système pendant les 86400 dernières secondes, car aucun des fournisseurs de service de temps n’a fourni d’horodatage utilisable. Le service de temps ne mettra pas à jour l’heure du système local avant de s’être synchronisé avec une source de temps. Si le système local est configuré en tant que serveur de temps pour les clients, il arrêtera de s’annoncer comme source de temps aux clients après 0 secondes. Le service de temps continuera d’essayer et de synchroniser l’heure avec ses sources de temps. Vérifiez la présence d’autres événements W32time dans le journal des événements du système pour plus de détails. Exécutez w32tm /resync pour forcer une synchronisation d’heure instantanée. Vous pouvez contrôler la fréquence de la redécouverte de la source de temps à l’aide du paramètre de configuration ClockHoldoverPeriod W32time. Modifiez le paramètre de configuration EventLogFlags W32time si vous souhaitez désactiver ce message.#011118644#015"
]
}
}
Excellent- thanks for confirming!!
Hi Phil,
I also tested with some Windows machines via syslog TCP/5514, and the result is that fields are not matching the right value in the log. Here are two samples, one from a Windows Server, and one from a Windows 10 machine: