PowerShell 模块
编辑PowerShell 模块
编辑PowerShell 模块处理来自 Microsoft-Windows-PowerShell/Operational 和 Windows PowerShell 日志的事件日志记录。
该模块针对以下事件 ID 进行转换:
- 400 - 引擎状态从“无”更改为“可用”。
- 403 - 引擎状态从“可用”更改为“已停止”。
- 600 - 启动提供程序。
- 800 - 执行管道。
- 4103 - 模块日志记录。
- 4104 - 脚本块日志记录。
- 4105 - 命令已启动。
- 4106 - 命令已完成。
配置
编辑默认情况下,模块和脚本块日志记录(事件 ID 410x)处于禁用状态。要启用它们,您可以通过“Windows PowerShell”GPO 设置进行操作,并将“启用模块日志记录”和“启用 PowerShell 脚本块日志记录”设置为启用。
或者,可以通过设置以下注册表值来启用它们:
HKCU/HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging: EnableModuleLogging = 1 HKCU/HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging \ModuleNames: * = * HKCU/HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging: EnableScriptBlockLogging = 1 HKCU/HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging: EnableScriptBlockInvocationLogging = 1
winlogbeat.event_logs:
- name: Windows PowerShell
event_id: 400, 403, 600, 800
- name: Microsoft-Windows-PowerShell/Operational
event_id: 4103, 4104, 4105, 4106
output.elasticsearch.pipeline: winlogbeat-%{[agent.version]}-routing
|
所有模块处理均通过 Elasticsearch Ingest Node 管道进行处理。有关详细信息,请参阅 Ingest Node 管道的设置。 |
示例仪表盘
编辑此模块附带一个示例仪表盘。
