TWLogEye開発27日目：初版リリースのためにヘルプやREADMEを編集しています

今朝は５時２０分に自力でおきました。いつもより長く寝ました。助手の猫さんは、たぶん、かみさんの布団で寝ていたようで６時ぐらい騒ぎ始めました。かみさんに呼ばれたので開発を中断して、お世話したら、おさまったようです。

Windows環境の難題を何とか解決しました。昨日までの問題の他に、wevtutilが出力するXMLのログの文字コードがUTF-8ではないためにエラーになる問題もありました。SHIFT-JISからUTF-8に変換して解決しました。ログを英語で出力してもらったほうがよいのですが、wevtutlの説明をみるとXMLの場合はだめみたいです。
最初のリリースができそうな状態になったので

Go言語でSIGMAのハンズオン(Software Designの記事)をやってみた - Qiita

で試したsysmonのルールのテストをすることにしました。
最初、sysmonのログを取得するためのイベントログのチャネルが何か不明でした。System/Security/Applicationではありませんでした。
いろいろ調べて

wevtutil

を見つけました。wevtutilを攻撃に使った場合の説明のようです。
Microsoft-Windows-Sysmon/Operational
がログの場所のようです。
ハンズオンのルールで監視している時に

>whoami /priv

 を実行すれば、ちゃんと通知されました。

概ね最初に思っていたプログラムはできたのでリリースのためにヘルプの内容やREADMEの説明を作ることにしました。明日は祝日なので、１ヶ月でリリースできそうです。

明日に続く