不确定如何从 .evtx 文件读取
编辑不确定如何从 .evtx 文件读取
编辑是的,Winlogbeat 可以摄取存档的 .evtx 文件。当您将 name 参数设置为事件日志文件的绝对路径时,它将从该文件读取。这是一个例子。首先,为 Winlogbeat 创建一个新的配置文件。
winlogbeat-evtx.yml
winlogbeat.event_logs:
- name: ${EVTX_FILE}
no_more_events: stop
winlogbeat.shutdown_timeout: 30s
winlogbeat.registry_file: evtx-registry.yml
output.elasticsearch.hosts: ['https://127.0.0.1:9200']
-
name将设置为EVTX_FILE环境变量的值。 -
no_more_events设置当 Windows 报告没有更多事件可读时 Winlogbeat 的行为。我们希望 Winlogbeat 停止 而不是 等待 ,因为这是一个不会再接收任何事件的存档文件。 -
shutdown_timeout控制 Winlogbeat 在因为到达日志末尾而停止后,等待完成将事件发布到 Elasticsearch 的最大时间。 - 使用单独的注册表文件以避免覆盖默认的注册表文件。在您完成摄取 .evtx 数据后,您可以删除此文件。
现在执行 Winlogbeat 并等待它完成。它会在完成后退出。
.\winlogbeat.exe -e -c .\winlogbeat-evtx.yml -E EVTX_FILE=c:\backup\Security-2019.01.evtx