Dockerイメージの使い方
1. Dockerのインストール
2. Dockerイメージの取得
3. Dockerイメージの起動
4. Web GUIへアクセス
5. EVTXファイルのインポート
Dockerを使用している場合は、以下のイメージを使用することができます。
https://hub.docker.com/r/jpcertcc/docker-logontracer/
Dockerをインストールしていない場合は、DockerのWebサイトなどを参考にインストールしてください。
$ docker image pull jpcertcc/docker-logontracer$ docker container run \
--detach \
--publish=7474:7474 --publish=7687:7687 --publish=8080:8080 \
-e LTHOSTNAME=[IP_Address] \
jpcertcc/docker-logontracerLogonTracerが起動するまでしばらく待ちます。
Webブラウザで http://[IP_Address]:8080/ にアクセスします。JavaScriptを有効にして下さい。Dockerイメージにはサンプルデータが含まれています。初回アクセス時にはサンプルデータが表示されます。Web GUIからEVTXファイルをインポートすることで、このデータは削除されます。
サポートするブラウザ
- Mozilla Firefox
- Google Chrome
- Microsoft Edge
デフォルトアカウント(neo4j:password)でログインします。
Web GUIまたはlogontracer.pyを使用してイベントログをインポートします。EVTXをインポートした後、 Webブラウザをリロードする必要があります 。
イベントログは"upload EVTX"ボタンでインポートできます。サポートしているファイルのフォーマットはEVTXまたはXML(イベントビューアーからエクスポートしたもの)です。EVTXファイルのインポートが成功しない場合は、"Log"ボタンで確認してください。
logontracer.pyを使用して、ホスト上からDockerイメージにインポートできます。
$ git clone https://github.com/JPCERTCC/LogonTracer.gitイベントログはlogontracer.pyのオプション -e または -x でインポートできます。
$ cd LogonTracer
$ python3 logontracer.py --delete -e [EVTX File] -z [TIME Zone] -u neo4j -p password -s [Docker image IP Address]or
$ cd LogonTracer
$ python3 logontracer.py --delete -x [XML File] -z [TIME Zone] -u [USERNAME] -p [PASSWORD] -s [Docker image IP Address]- --delete: Neo4jのデータを削除
- -e: インポートするEVTXファイル
- -x: インポートするXMLファイル
- -z: タイムゾーン (例: +9, -5)
- -u: インストールしたNeo4jのユーザ名 (Dockerイメージは“neo4j”)
- -p: インストールしたNeo4jのパスワード (Dockerイメージは“password”)
- -s: 起動したDockerイメージのアドレス (例: localhost)