问题咨询

[xc134]

Hi、花了两天完成了手动搭建，在5、初始化kafka消费者配置 修改为与kafka集群匹配的Brokers、Topic、Group等信息时，复制的命令提示参数-source无效。根据help显示及6、7。发现-source需要放在前面 改为 ./main source init --sourcename ITEvent

还想咨询下有测试接入sysmon的日志么？有没有规则文件可以参考下。

[Leeasina]

同上想问一下有测试接入sysmon的日志吗
另外这边实际使用发现README功能描述不全，是否可以增加”功能测试“的测试模版、”系统设置“里”数据源输出“等配置及插件的测试样例呢，非常感谢！

[Cgaii]

Hi、花了两天完成了手动搭建，在5、初始化kafka消费者配置 修改为与kafka集群匹配的Brokers、Topic、Group等信息时，复制的命令提示参数-source无效。根据help显示及6、7。发现-source需要放在前面 改为 ./main source init --sourcename ITEvent

还想咨询下有测试接入sysmon的日志么？有没有规则文件可以参考下。

初始化kafka的命令如下，需要去掉source前的-：
./main init source --sourcename ITEvent --sourceengine event_log --brokers 10.10.10.10:9092 --topic winlogbeat --group sec-ata --oldest false --kafka true
目前watchad开源版的规则暂时不需要依赖sysmon，如果对sysmon比较感兴趣可以参考下Neo23x0大神的https://github.com/Neo23x0/sysmon-config

[Cgaii]

同上想问一下有测试接入sysmon的日志吗 另外这边实际使用发现README功能描述不全，是否可以增加”功能测试“的测试模版、”系统设置“里”数据源输出“等配置及插件的测试样例呢，非常感谢！

WatchAD开源版的规则暂时不需要依赖sysmon。功能描述我们后续回逐步补充说明的。