不确定如何读取 .evtx 文件
编辑不确定如何读取 .evtx 文件
编辑是的,Winlogbeat 可以读取存档的 .evtx 文件。当您将 name 参数设置为事件日志文件的绝对路径时,它将读取该文件。以下是一个示例。首先为 Winlogbeat 创建一个新的配置文件。
winlogbeat-evtx.yml
winlogbeat.event_logs:
- name: ${EVTX_FILE}
no_more_events: stop
winlogbeat.shutdown_timeout: 30s
winlogbeat.registry_file: evtx-registry.yml
output.elasticsearch.hosts: ['https://127.0.0.1:9200']
-
name将设置为EVTX_FILE环境变量的值。 -
no_more_events设置了当 Windows 报告没有更多事件可读时 Winlogbeat 的行为。我们希望 Winlogbeat *停止* 而不是 *等待*,因为这是一个存档文件,不会接收任何更多事件。 -
shutdown_timeout控制 Winlogbeat 在因到达日志末尾而停止后,等待将事件发布到 Elasticsearch 的最大时间。 - 使用一个单独的注册表文件以避免覆盖默认的注册表文件。在完成 .evtx 数据的读取后,您可以删除此文件。
现在执行 Winlogbeat 并等待其完成。完成后它将退出。
.\winlogbeat.exe -e -c .\winlogbeat-evtx.yml -E EVTX_FILE=c:\backup\Security-2019.01.evtx