模块
编辑模块
编辑Winlogbeat 模块在 8.0.0 版本中进行了更改,开始使用 Elasticsearch Ingest Node 进行处理。如果您是从 7.x 版本升级,请查看文档并参阅默认配置文件。
本节包含有关 Winlogbeat 中包含的可用 Windows 事件日志处理模块的详细信息。有关每个模块的更多详细信息,请参阅模块文档。
Winlogbeat 模块使用 Elasticsearch Ingest Node 管道实现。事件在 Elasticsearch 中接收其转换。所有事件都通过 Winlogbeat 的“路由”管道发送,该管道根据其 winlog.channel 值将事件路由到特定模块管道。
Winlogbeat 的默认配置文件包含将所有事件发送到路由管道的选项。如果您删除此选项,则不会应用模块处理。
output.elasticsearch.pipeline: winlogbeat-%{[agent.version]}-routing
每个模块的总体目标是通过重命名字段来转换事件,以符合 Elastic 通用架构 (ECS)。模块还可以根据需要应用其他分类、标记和解析。
提供的模块仅支持英文事件。有关如何在 winlogbeat 中配置语言的更多信息,请参阅 Winlogbeat。
Ingest Node 管道的设置
编辑如果您想将模块处理应用于事件,则必须将 Winlogbeat 的 Ingest Node 管道安装到 Elasticsearch。最简单的入门方法是使用 Elasticsearch 输出,Winlogbeat 将在其首次连接到 Elasticsearch 时自动安装管道。
安装方法
与转发事件一起使用
编辑使用 ForwardedEvents 通道时,不需要特殊的配置选项。此日志中的事件保留其来源的通道名称(例如 winlog.channel: Security)。并且由于路由管道基于通道名称处理事件,因此无需特殊配置。
winlogbeat.event_logs:
- name: ForwardedEvents
tags: [forwarded]
language: 0x0409 # en-US
output.elasticsearch.pipeline: winlogbeat-%{[agent.version]}-routing