鐵人檔案
很多時候為了應對網域內的突發事件,需要花許多時間從LOG中找出問題的癥結點,尤其是當系統管理人員與網路管理人員職責切割時,事件發生後的應對會需要更多時間找出癥結點與協調合作,為了能夠在問題發生的第一時間作出決策,蒐集網域內的LOG來進行關聯分析,並透過機器學習進一步提前預測,可以減少系統管理人員處理事件所需的時間。
專有名詞 Domain Controller(DC):此DC非彼DC,沒有黑暗到不行的設定,但是有Windows Server黑箱到不行的GPO,總之跟那個D...
專有名詞 Primary Domain Controller(PDC):具有FSMO的PDC emulator的DC,所有的帳號狀態改變都會優先跟PDC反應,例...
Windows Time Service Windows Time Service的架構如下圖,不過這不是我的重點,看過就好,設定"Input Pro...
介紹 Windows的Event Log是出了名的分散,同一個事件可以分散在好幾個Event Log裡,如果不特別啟用個別的Event Log,甚至還會出現缺少...
介紹 要用Windows Event Collector來收集或轉寄Event Log就不得不了解以下的工具,因為我打算採用WinRM加上Event Subsc...
Event Log收集方式(Subscription類型) Windows Event Log Collector提供了以下兩種方式收集Log,個人偏好由主機主...
分析工具環境 目前暫定Ubuntu 16.04,雖然用Windows可以與網域一致,但是因為Windows環境下有許多工具安裝上不方便,為了避免在安裝或編譯上花...
介紹 插播一個我認為非常重要的東西,原本的分析工具介紹就先延後,重要的主機(這次就是分析系統)無論如何都要與外網完全隔離,但是在某些情況下非常需要從外網取得資源...
介紹 既然要做Log關聯分析,在訓練模型去學習自家網域前,需要一些工具來視覺化大量的Log,這邊採用Open Source的ELK,如果自家公司有錢的話,其實也...
Elasticsearch 今天這篇主要介紹的是安裝指令與流程,如果已經熟悉的朋友們就跳過吧。 在Ubuntu 16.04上安裝Elasticsearch前,必...
