不确定如何从 .evtx 文件读取
编辑不确定如何从 .evtx 文件读取编辑
是的,Winlogbeat 可以摄取存档的 .evtx 文件。当您将 name 参数设置为事件日志文件的绝对路径时,它将从该文件读取。以下是一个示例。首先为 Winlogbeat 创建一个新的配置文件。
winlogbeat-evtx.yml
winlogbeat.event_logs:
- name: ${EVTX_FILE}
no_more_events: stop
winlogbeat.shutdown_timeout: 30s
winlogbeat.registry_file: evtx-registry.yml
output.elasticsearch.hosts: ['https://127.0.0.1:9200']
-
name将设置为EVTX_FILE环境变量的值。 -
no_more_events设置了当 Windows 报告没有更多事件可读时 Winlogbeat 的行为。我们希望 Winlogbeat 停止 而不是 等待,因为这是一个存档文件,不会接收更多事件。 -
shutdown_timeout控制 Winlogbeat 在由于到达日志末尾而停止后等待完成将事件发布到 Elasticsearch 的最长时间。 - 使用单独的注册表文件来避免覆盖默认注册表文件。摄取 .evtx 数据后,您可以删除此文件。
现在执行 Winlogbeat 并等待它完成。完成后它将退出。
.\winlogbeat.exe -e -c .\winlogbeat-evtx.yml -E EVTX_FILE=c:\backup\Security-2019.01.evtx