返回介绍

Beats - winlogbeat

发布于 2020-06-28 10:03:43 字数 2296 浏览 1518 评论 0 收藏 0

winlogbeat 通过标准的 windows API 获取 windows 系统日志,常见的有 application,hardware,security 和 system 四类。winlogbeat 示例配置如下:

  1. winlogbeat.event_logs:
  2. - name: Application
  3. provider:
  4. - Application Error
  5. - Application Hang
  6. - Windows Error Reporting
  7. - EMET
  8. - name: Security
  9. level: critical, error, warning
  10. event_id: 4624, 4625, 4700-4800, -4735
  11. - name: System
  12. ignore_older: 168h
  13. - name: Microsoft-Windows-Windows Defender/Operational
  14. include_xml: true
  15. output.elasticsearch:
  16. hosts:
  17. - localhost:9200
  18. pipeline: "windows-pipeline-id"
  19. logging.to_files: true
  20. logging.files:
  21. path: C:/ProgramData/winlogbeat/Logs
  22. logging.level: info

和其他 beat 一样,这里示例的配置不都是必填项。事实上只有 event_logs.name 是必须的。而 winlogbeat 的输出字段中,除了 beats 家族的通用内容外,还包括一下特有字段:

  • activity_id
  • computer_name:如果运行在 Windows 事件转发模式,这个值会和 beat.hostname 不一样。
  • event_data
  • event_id
  • keywords
  • log_name
  • level:可选值包括 Success, Information, Warning, Error, Audit Success, and Audit Failure.
  • message
  • message_error
  • record_number
  • related_activity_id
  • opcode
  • provider_guid
  • process_id
  • source_name
  • task
  • thread_id
  • user_data
  • user.identifier
  • user.name
  • user.domain
  • user.type
  • version
  • xml

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文