TWWINLOG：基本機能が動いた

昨日のオリンピック男子サッカー試合、ウチの猫はPK戦が始まるまでぐっすり寝ていました。PK戦を真剣に観戦して、いつもの神通力でPKを止めたと満足げに言っています。「ワシのおかげ」
さて、昨日から開発を始めたWindowsのイベントログをsyslogでTWSNMPに送信するセンサーTWWINLOGの続きです。

GitHub - twsnmp/twwinlog: TWSNMP FC Sensor for Windows Event Log

基本的な枠組みはTWPCAPを流用したので今日基本的な機能が動作するようになりました。

＊イベントログをコマンドで取得する
＊イベントログのXMLをパースする
＊イベントID別に集計してレポートする
＊ログオン失敗を通知する
＊ログオンセッション別に集計してレポートする

TWSNMP　FCで受信すると

ログオン失敗は注意で記録されます。イベントID別の集計は、

2021/08/01 11:13:57.057 info:local5 twwinlog type=IDMap,com=DESKTOP-T6L1D1U,4648=1,5379=9,10016=1,4634=3,4624=7,4798=26,4625=2

のような感じです。
WIndowsのイベントログに関しては、

Windows Security Log Event ID 4625 - An account failed to log on

のサイトが参考になりました。上記のページにログオン失敗の理由の調べ方が書いてあります。このサイトからダウンロードできるクイックリファレンスも便利です。

今朝の開発は、

基本的な機能が動作した最初のバージョン · twsnmp/twwinlog@37f7316

です。
まだ集計に問題があるので修正しなければならないのと、ログオンタイプやログオン失敗理由を数値ではなく文字列に変換する処理を追加しようと思います。でも、今日はここまで、

明日に続く