How to parse an event log of a Windows security ev...

Said7 · ‎03-13-2019

My problem is next: when I want to parse a log of a windows security event, in the process Splunk cuts the log from "the network information" to "the end of the log". Does anyone know how I can parse the entire log?

**full log:** 

Audit Failure   01/05/2015  02:15:15 p. m.  4625    Microsoft-Windows-Security-Auditing Logon   N/A my domani.com
Error de una cuenta al iniciar sesión.
Sujeto:
    Id. de seguridad:        S-1-5-18
    Nombre de cuenta:        AJODA2$
    Dominio de cuenta:        AX
    Id. de inicio de sesión:        0x3e7
Tipo de inicio de sesión:            2
Cuenta con error de inicio de sesión: 
    Id. de seguridad:        S-1-0-0
    Nombre de cuenta:        Audit
    Dominio de cuenta:        CB
Información de error:
    Motivo del error:        Nombre de usuario desconocido o contraseña incorrecta
    Estado:            0xc000006d
    Subestado:        0xc000006a
Información de proceso:
    Id. de proceso del autor de la llamada:    0x2bc
    Nombre de proceso del autor de la llamada:    C:\Windows\System32\process.exe
Información de red:
    Nombre de estación de trabajo:    HOST1
    Dirección de red de origen:    XXX.XXX.XXX.XXX
    Puerto de origen:        60452
Información de autenticación detallada:
    Proceso de inicio de sesión:        Advapi  
    Paquete de autenticación:    MICROSOFT_AUTHENTICATION_PACKAGE_V2_0
    Servicios transitados:    -
    Nombre de paquete (solo NTLM):    -
    Longitud de clave:    0
Este evento se genera cuando se produce un error en una solicitud de inicio de sesión. Lo genera el equipo al que se intentó tener acceso.
Los campos de sujeto indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe.
El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se solicitó. Los tipos más comunes son 2 (interactivo) y 3 (red).
Los campos Información de proceso indican la cuenta y el proceso en el sistema que solicitó el inicio de sesión.
Los campos Información de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos.
Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica.
    - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión.
    - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM.
    - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión.


**Log parse:** 

Audit Failure   08/04/2015  02:21:15 p. m.  4625    Microsoft-Windows-Security-Auditing Logon   N/A MyDomain.com
Error de una cuenta al iniciar sesión.
Sujeto:
    Id. de seguridad:        S-1-5-18
    Nombre de cuenta:        AJODA2$
    Dominio de cuenta:        AX
    Id. de inicio de sesión:        0x3e7
Tipo de inicio de sesión:            3
Cuenta con error de inicio de sesión: 
    Id. de seguridad:        S-1-0-0
    Nombre de cuenta:       Audit
    Dominio de cuenta:       AX
Información de error:
    Motivo del error:        Nombre de usuario desconocido o contraseña incorrecta
    Estado:            0xc000006d
    Subestado:        0xc000006a
Información de proceso:
    Id. de proceso del autor de la llamada:    0x2bc
    Nombre de proceso del autor de la llamada:    C:\Windows\System32\process.exe
Información de red:

*since here splunk cut the log until the end of the log

Anonymous · ‎04-05-2019

Can you try this?

[WinEventLog://Security]
disabled = 0
start_from = oldest
current_only = 0
evt_resolve_ad_obj = 1
checkpointInterval = 5
whitelist = 4624,4648,5140,4723,4724,4697,4720,4756,4728,528,540,5152
index = live_servers_eventlog
renderXml=true

When renderXml is true then splunk wil have much easier to locate the fields.
Because the uForwarder wil make write the event into a XML format

And in the search you can try.

index=live_servers_eventlog | xmlkv

How did this work out for you?

Anonymous · ‎03-13-2019

Hi and good evening.

To understand a bit more can we see the inputs.conf stanza for the security log?

I am interested to see if you have
KV_MODE = xml
If you use xml mode.
The try to use

index=idxname | kvxml

And also there is a option with.
BREAK_ONLY_BEFORE =
MUST_BREAK_AFTER =

Said7 · ‎04-04-2019

Hi kairobink.

we are not receiving the logs from a forwarder of windows, we download the .evtx file from a server and then convert it in .txt with log explorer, but we want to parse specifically the event id 4625 extracting the field like event id, workstation, error code, etc... manually but we cant do that.

Well, the inpunts.conf there is:

[WinEventLog://Security]
disabled = 0
start_from = oldest
current_only = 0
evt_resolve_ad_obj = 1
checkpointInterval = 5
whitelist1 = EventCode="4624"
whitelist2 = EventCode="4648"
whitelist3 = EventCode="5140"
whitelist4 = EventCode="4723"
whitelist5 = EventCode="4724"
whitelist6 = EventCode="4697"
whitelist7 = EventCode="4720"
whitelist8 = EventCode="4756"
whitelist9 = EventCode="4728"
whitelist10 = EventCode="528"
whitelist11 = EventCode="540"
whitelist12 = EventCode="5152"
blacklist1 = Message="Destination Port:\s+137"
blacklist1 = Message="Destination Port:\s+53"
index = live_servers_eventlog
renderXml=false

thanks for your support.

Anonymous · ‎04-05-2019

The stanza [WinEventLog://Security] wil only work at the local security log of windows.For the uForwarder installed on a windows machine.

When you say download... do you manuelly get the file to get the info out?
Is it possible to tell the windows server to store the Security Log on a smb share, perhaps to a server that have the uForwarder installed.

How to parse an event log of a Windows security event?

Introducing Splunk Enterprise 9.2

Adoption of RUM and APM at Splunk

Routing logs with Splunk OTel Collector for Kubernetes