Sysmon 模块
编辑Sysmon 模块
编辑sysmon 模块处理来自 Sysinternals 系统监视器 (Sysmon) 的事件日志记录,这是一个 Windows 服务和设备驱动程序,用于将系统活动记录到事件日志中。 Sysmon 不与 Windows 或 Winlogbeat 捆绑在一起,必须单独安装。
默认配置文件包含 Sysmon 通道的配置。 如果您没有安装 Sysmon,Winlogbeat 将记录一条警告,表明它无法从 Microsoft-Windows-Sysmon/Operational 通道读取。 它将继续从其他配置的通道读取。 如果您稍后安装 Sysmon,则需要重新启动 Winlogbeat 才能使其开始从该通道读取。
此模块基于 Sysmon v13 事件清单构建。 它包含为每个定义的事件 ID 进行的转换。
配置
编辑winlogbeat.event_logs:
- name: Microsoft-Windows-Sysmon/Operational
output.elasticsearch.pipeline: winlogbeat-%{[agent.version]}-routing
|
所有模块处理都通过 Elasticsearch Ingest 节点管道处理。 有关详细信息,请参阅 设置 Ingest 节点管道。 |