Importer un fichier .evtx dans ELK depuis Linux via Python

Mickael Dorigny - ITConnect - 03/12
Dans ce tutoriel, nous allons apprendre à importer des fichiers ".evtx" (logs Windows) dans ELK à partir d'une machine Linux et d'un script écrit en Python3.

Sommaire

  • I. Présentation
  • II. EVTX et ELK : quelques rappels
  • III. Script d'import des .evtx vers ELK
  • IV. Visualisation des données dans le Discover ELK
  • V. Conclusion

I. Présentation

Dans cet article, nous allons apprendre à importer des logs au format ".evtx" dans un SIEM ELK par l'intermédiaire d'un système Linux, nous utiliserons pour cela un script écrit en Python3.À plusieurs reprises ces derniers mois, j'ai eu le besoin d'importer des logs Windows que j'avais à analyser "à froid" dans un SIEM ELK, c'est-à-dire sans accès direct au système les ayant produits. Il est vrai que les outils natifs de Windows se prêtent assez peu au rôle qui est le leur, à savoir rechercher efficacement des informations dans les milliers ou millions d'évènements qui peuvent se produire sur un système. C'est pourquoi je préfère généralement utiliser ELK plutôt que de réimporter mes fichiers .evtx dans un autre système Windows.

Je vous propose donc une méthode fonctionnelle que j'utilise à présent fréquemment pour effectuer cette tâche depuis un système Linux. Cet article se base sur un script proposé par le site https://dragos.com que nous allons remettre au goût du jour et améliorer. Vous pourrez retrouver ce script amélioré sur notre dépôt GitHub. Également, j'ai à ma d...
[Courte citation de 8% de l'article original]