AIアシスト付きログ分析ツール(TWLogAIAN)のWindowsログ対応を改善　途中

今朝は５時から開発開始です。
TFIDFのパッケージは、一段落したので、いよいよ本題のログ分析ツールへの組み込みをしようかと思いました。
しかし、先週、実戦でWindowsのイベントログを、このツールで分析していた気になることが沢山見つかりました。
ここで助手の猫が天から一言、
「使っていない機能にはバグはない、使った機能からバグが見つかる」

その通りです。とんでもないバグが潜んでいました。

• Windowsのログはインデックスをメモリに作成しないとイベントIDなどが表示されない

• Windowsログのデフォルトの表示形式が間違っている

• レベルの表示が空欄や、エラーのものが正常と表示される

• 画面サイズの変更に連動してログの表示行数を変更する動作がうざい

• イベントIDの意味を調べる機能がほしい

細かいバグはコツコツ修正しました。

ログの表示行数は、画面サイズで自動変更はやめて、緑の矢印のところで選択するようにしました。
イベントIDの意味を調べる機能は、赤の矢印のところに検索ボタンをつけました。クリックするとGoogleさんに

windows evnet id  イベントID番号

のキーワードで検索する画面を表示するようにしました。
黄色の矢印のレベルの表示は、

のような間抜けなバグが２つもあったので修正しました。
修正しても、ほとんどが正常の表示になってしまいます。イベントログの中にあるLevelの値を使っていますが、セキュリティーログだと、この値はほとんど正常の値にしかなりません。
調べてみると

付録 L: 監視するイベント

を見つけました。ここでイベントID毎に監視の重要度がわかるようになっています。この英語版からJSONファイルのデータベースを作っている人も見つけました。

この定義からレベル分けする仕組みをつけようと思います。
4618のイベントログなら、High(高）レベルと表示するような改善です。

先程のサイトのJSONファイルを使おうかと思いましたが、英語の

Appendix L - Events to Monitor

の情報からデータを作ったほうがよさそうなので、その方法を考えています。続きは明日書きます。

明日に続く