TWLogEye開発25日目：リリースに向けてWindows環境でテスト中に新た難題を発見

今朝は４時前に、助手の猫さんが大騒ぎして起こしにきました。ご飯をあげておさまりました。寒いのので二度寝していたら、４時半ぐらいに、また猫さんが起こしにきました。１階までついて行ってTVをつけると日米首脳会談の記者会見をライブでやっていました。それを知らせに猫さんが騒いだのかもしれません。猫さんの平和な暮らしが守られますように！
猫さんは、昨日、かみさんを欺いて、外に脱走しました。４度目です。先代の助手の猫より賢いので油断できません。
猫さんは、６時前に、もう一度騒いで、かみさんの布団で寝たようです。

昨日、Sigmaルールの読み込み時のエラーを解決したので今朝は、Windowsの環境でテストすることにしました。ログの収集、gRPCのサーバーとクライアントの動作などの基本的な動作は問題ありませんでした。
しかし、新たな難題を２つ見つけました。

Sigmaルールの判定時のエラー

読み込み時には、エラーはなかったのですが、判定する時に

2025/02/08 06:17:29 sigma matches err=error evaluating search keywords: keywords unsupported
2025/02/08 06:17:29 sigma matches err=error evaluating search filter_optional_generic: keywords unsupported

のようなエラーが出ています。

WindowsイベントログのJSON化がおかしい

セキュリティーのログを監視してJSON化していますが、クライアントから読み出すと

2025-02-08T06:00:26.8822441+09:00 Security {"Event": {"-xmlns": "http://schemas.microsoft.com/win/2004/08/events/event", "System": {"Execution": {"-ProcessID": 4, "-ThreadID": 972}, "Security": "", "TimeCreated": {"-SystemTime": "2025-02-07T21:00:26.8822441Z"}, "EventRecordID": 13648186, "Computer": "YMIRYZ", "EventID": 4689, "Opcode": 0, "Keywords": "0x8020000000000000", "Correlation": "", "Channel": "Security", "Version": 0, "Level": 0, "Task": 13313, "Provider": {"-Name": "Microsoft-Windows-Security-Auditing", "-Guid": "{54849625-5478-4994-a5ba-3e3b0328c30d}"}}, "EventData": {"Data": [{"#content": "S-1-5-21-1734809770-1267934487-2188562794-1001", "-Name": "SubjectUserSid"}, {"#content": "ymi", "-Name": "SubjectUserName"}, {"#content": "YMIRYZ", "-Name": "SubjectDomainName"}, {"#content": "0x162cc6", "-Name": "SubjectLogonId"}, {"#content": "0x0", "-Name": "Status"}, {"#content": "0x2048", "-Name": "ProcessId"}, {"#content": "C:\\Windows\\System32\\conhost.exe", "-Name": "ProcessName"}]}}}

のような感じでJSON化がおかしいです。

の時に、うまい方法を見つけたと思っていましたが、それほどうまくいかなかったようです。ちょっと真面目に考える必要があります。

昨日、新しく作りたいアイデアが１つ増えて開発待ちのアイデアが３つになりました。

明日に続く