Sysmon 模块
编辑Sysmon 模块
编辑Sysmon 模块处理来自 Sysinternals 系统监视器 (Sysmon) 的事件日志记录,Sysmon 是一款 Windows 服务和设备驱动程序,用于将系统活动记录到事件日志中。Sysmon 并非 Windows 或 Winlogbeat 的捆绑组件,必须单独安装。
默认配置文件包含 Sysmon 通道的配置。如果您未安装 Sysmon,Winlogbeat 将记录一条警告,指出它无法从 Microsoft-Windows-Sysmon/Operational 通道读取数据。它将继续从其他已配置的通道读取数据。如果您在稍后安装了 Sysmon,则需要重新启动 Winlogbeat 才能使其开始从该通道读取数据。
此模块基于 Sysmon v13 事件清单构建。它包含每个已定义事件 ID 的转换。
配置
编辑winlogbeat.event_logs:
- name: Microsoft-Windows-Sysmon/Operational
output.elasticsearch.pipeline: winlogbeat-%{[agent.version]}-routing
|
所有模块处理均通过 Elasticsearch Ingest Node 管道进行。有关详细信息,请参阅 Ingest Node 管道的设置。 |