PowerShell 模块
编辑PowerShell 模块编辑
PowerShell 模块处理来自 Microsoft-Windows-PowerShell/Operational 和 Windows PowerShell 日志的事件日志记录。
该模块针对以下事件 ID 提供转换:
- 400 - 引擎状态从 None 更改为 Available。
- 403 - 引擎状态从 Available 更改为 Stopped。
- 600 - 启动提供程序。
- 800 - 执行管道。
- 4103 - 模块日志记录。
- 4104 - 脚本块日志记录。
- 4105 - 命令已启动。
- 4106 - 命令已完成。
配置编辑
默认情况下,模块和脚本块日志记录(事件 ID 410x)处于禁用状态,要启用它们,您可以通过“Windows Powershell”GPO 设置进行操作,并将“启用模块日志记录”和“启用 PowerShell 脚本块日志记录”设置为启用。
或者,可以通过设置以下注册表值来启用它们:
HKCU/HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging: EnableModuleLogging = 1 HKCU/HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging \ModuleNames: * = * HKCU/HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging: EnableScriptBlockLogging = 1 HKCU/HKLM\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging: EnableScriptBlockInvocationLogging = 1
winlogbeat.event_logs:
- name: Windows PowerShell
event_id: 400, 403, 600, 800
- name: Microsoft-Windows-PowerShell/Operational
event_id: 4103, 4104, 4105, 4106
output.elasticsearch.pipeline: winlogbeat-%{[agent.version]}-routing
|
所有模块处理都通过 Elasticsearch Ingest Node 管道进行处理。有关详细信息,请参阅Ingest Node 管道的设置。 |
示例仪表板编辑
该模块附带一个示例仪表板。
