Winlogbeat 概述

Winlogbeat 将 Windows 事件日志发送到 Elasticsearch 或 Logstash。您可以将其安装为 Windows 服务。

Winlogbeat 使用 Windows API 从一个或多个事件日志中读取数据，根据用户配置的标准过滤事件，然后将事件数据发送到配置的输出（Elasticsearch 或 Logstash）。Winlogbeat 会监视事件日志，以便及时发送新的事件数据。每个事件日志的读取位置会持久化到磁盘，以便 Winlogbeat 可以在重启后恢复。

Winlogbeat 可以捕获系统上运行的任何事件日志中的事件数据。例如，您可以捕获以下事件：

Winlogbeat 是一个 Elastic Beat。它基于 libbeat 框架。有关更多信息，请参阅 Beats 平台参考.