Skip to content

Dockerイメージの使い方

Jump to bottom
shu-tom edited this page Dec 27, 2017 · 5 revisions

1. Dockerのインストール
2. Dockerイメージの取得
3. Dockerイメージの起動
4. Web GUIへアクセス
5. EVTXファイルのインポート

Dockerを使用している場合は、以下のイメージを使用することができます。
https://hub.docker.com/r/jpcertcc/docker-logontracer/

Dockerのインストール

Dockerをインストールしていない場合は、DockerのWebサイトなどを参考にインストールしてください。

Dockerイメージの取得

$ docker pull jpcertcc/docker-logontracer

Dockerイメージの起動

$ docker run \
   --detach \
   --publish=7474:7474 --publish=7687:7687 --publish=8080:8080 \
   -e LTHOSTNAME=[IP_Address] \
   jpcertcc/docker-logontracer

LogonTracerが起動するまでしばらく待ちます。

Web GUIへアクセス

Webブラウザで http://[IP_Address]:8080/ にアクセスします。JavaScriptを有効にして下さい。Dockerイメージにはサンプルデータが含まれています。初回アクセス時にはサンプルデータが表示されます。Web GUIからEVTXファイルをインポートすることで、このデータは削除されます。

EVTXファイルのインポート

Web GUIまたはlogontracer.pyを使用してイベントログをインポートします。EVTXをインポートした後、 Webブラウザをリロードする必要があります

Web GUIからインポートする方法

イベントログは"upload EVTX"ボタンでインポートできます。
Upload EVTX File

pythonスクリプトでインポートする方法

logontracer.pyを使用して、ホスト上からDockerイメージにインポートできます。

LogonTracerをダウンロード

$ git clone https://github.com/JPCERTCC/LogonTracer.git

logontracer.pyを使ってインポート

イベントログはlogontracer.pyのオプション -e でインポートできます。

$ cd LogonTracer
$ python3 logontracer.py --delete -e [EVTX File] -z [TIME Zone] -u neo4j -p password -s [Docker image IP Address]
  • --delete: Neo4jのデータを削除
  • -e: インポートするEVTXファイル
  • -z: タイムゾーン (例: +9, -5)
  • -u: インストールしたNeo4jのユーザ名 (Dockerイメージは“neo4j”)
  • -p: インストールしたNeo4jのパスワード (Dockerイメージは“password”)
  • -s: 起動したDockerイメージのアドレス (例: localhost)

Manual

  1. Home
  2. How to Install
    1. for Linux
    2. for OS X
  3. How to Use
    1. Start LogonTracer
    2. Accessing the Web GUI
    3. Import EVTX
    4. Search and visualize the event log
    5. Importance rank of accounts and hosts
    6. Timeline
    7. User Management
    8. Case Management
  4. Combining LogonTracer with Elasticsearch
  5. Jump start with Docker
  6. Setup with Docker Compose
  7. Setup with SSL
  8. Configuration
  9. Important Notes

マニュアル(日本語)

  1. ホーム
  2. インストール
    1. Linux
    2. OS X
  3. 使用方法
    1. LogonTracerの起動
    2. Web GUIへアクセス
    3. EVTXのインポート
    4. イベントログの検索と可視化
    5. アカウントとホストの重要度
    6. タイムライン
    7. ユーザ管理
    8. ケース管理
  4. Elasticsearchとの連携
  5. Dockerイメージの使い方
  6. Docker Composeの使い方
  7. 通信の暗号化
  8. 設定情報
  9. 注意

Clone this wiki locally