大规模处理Windows事件日志：Hayabusa与SOF-ELK的结合应用

在第一部分中，我们使用Hayabusa对单个端点的Windows事件日志进行缩减/精炼，然后将输出结果导入SOF-ELK进行进一步分析。但如果我们需要处理多个系统的事件日志呢？在第二部分中，我们将通过将Hayabusa和SOF-ELK整合到快速端点调查工作流（“REIW”）中，实现大规模EVTX日志的处理！

快速端点调查工作流

我的快速端点调查工作流（“REIW”）一直包括收集EVTX文件并通过Hayabusa进行解析/精炼。目前，REIW将Hayabusa输出整合到每个端点的统一排查Excel工作簿中。这在审查少量端点时效果很好，但如果是25、50或100个端点呢？幸运的是，我们可以轻松地通过REIW连接已生成的Hayabusa输出，并将其放入SOF-ELK中，以便进行大规模搜索、排序和过滤，显著提高处理速度！

数据准备和标准化

REIW的一个关键组件是持续、统一地准备数据。您不需要完全按照我的方式操作，但需要有"一种方法"并确保文件路径与脚本匹配。我通常使用专用的操作系统卷（OS Volume = C:）和单独的数据卷（Data = D:）。我将工具和脚本存放在操作系统卷上（基本上是静态的），然后将案例数据存放在数据卷上（仅存在于案例期间）。在数据卷上，我会创建一个顶级"cases"文件夹、一个案例编号子文件夹，以及在案例编号文件夹内创建一个"triage_data"文件夹。然后将REIW"排查数据"zip文件保存在"triage_data"文件夹中。

Hayabusa输出处理

要大规模处理Hayabusa输出文件，我们需要使用REIW"hayabusa-copy-files-rename"脚本重命名并复制所有输出文件到单个目录。调整"casename"变量并确保路径匹配您的配置，然后运行脚本。现在您应该有一个"hayabusa-events-offline"文件夹，其中包含唯一命名的Hayabusa输出CSV文件。

SOF-ELK集成

如果SOF-ELK尚未运行，您可以重新访问第一部分下载预配置的虚拟机！SOF-ELK准备就绪后，我们可以将Hayabusa输出复制到适当的"logstash"文件夹中，耐心等待SOF-ELK处理完成，然后通过Web UI开始分析数据，就像在第一部分中一样。

我们将使用"scp"（安全复制）将上一步中创建的"hayabusa-events-offline"文件夹中的所有CSV Hayabusa输出文件复制到SOF-ELK。首先检查SOF-ELK虚拟机的IP地址，然后在主机系统上打开Windows PowerShell提示符并输入相应命令。

在SOF-ELK虚拟机上，您可以通过运行以下命令检查摄取和Elasticsearch索引填充的进度：sof-elk_clear.py -i list。耐心等待后，您应该看到类似截图的内容，表明"evtxlogs"索引正在被填充。

这只是使用Hayabusa和SOF-ELK结合我的快速端点调查工作流处理Windows事件日志的一种潜在方式！接受它、调整它、优化它，使其成为您自己的工具，并告诉我效果如何！