Sysmon 模块

Sysmon 模块处理来自 Sysinternals 系统监视器 (Sysmon) 的事件日志记录，它是一个 Windows 服务和设备驱动程序，将系统活动记录到事件日志。Sysmon 不包含在 Windows 或 Winlogbeat 中，必须单独安装。

默认配置文件包含 Sysmon 通道的配置。如果您没有安装 Sysmon，Winlogbeat 将记录一条警告，表明它无法从 Microsoft-Windows-Sysmon/Operational 通道读取。它将继续从其他配置的通道读取。如果您在以后安装了 Sysmon，则需要重新启动 Winlogbeat 才能使其开始从该通道读取。

此模块是基于 Sysmon v13 事件清单构建的。它包含对每个定义的事件 ID 的转换。

配置编辑

winlogbeat.event_logs:
  - name: Microsoft-Windows-Sysmon/Operational

output.elasticsearch.pipeline: winlogbeat-%{[agent.version]}-routing