模块
编辑模块
编辑Winlogbeat 模块在 8.0.0 版本中已更改为使用 Elasticsearch Ingest Node 进行处理。如果您是从 7.x 版本升级,请查看文档并查看默认配置文件。
本节包含有关 Winlogbeat 中包含的可用 Windows 事件日志处理模块的详细信息。有关每个模块的更多详细信息,请参阅模块的文档。
Winlogbeat 模块是使用 Elasticsearch Ingest Node 管道实现的。事件在 Elasticsearch 中接收转换。所有事件都通过 Winlogbeat 的“路由”管道发送,该管道根据它们的 winlog.channel 值将事件路由到特定的模块管道。
Winlogbeat 的默认配置文件包含将所有事件发送到路由管道的选项。如果您删除此选项,则模块处理将不会应用。
output.elasticsearch.pipeline: winlogbeat-%{[agent.version]}-routing
每个模块的总体目标是通过重命名字段来转换事件,以符合Elastic Common Schema (ECS)。模块还可以根据需要应用额外的分类、标记和解析。
提供的模块仅支持英文事件。有关如何在 winlogbeat 中配置语言的更多信息,请参阅Winlogbeat。
Ingest Node 管道的设置
编辑如果您想将模块处理应用于事件,则必须将 Winlogbeat 的 Ingest Node 管道安装到 Elasticsearch。最简单的入门方法是使用 Elasticsearch 输出,Winlogbeat 在首次连接到 Elasticsearch 时会自动安装管道。
安装方法
与转发事件一起使用
编辑使用 ForwardedEvents 通道时,不需要特殊的配置选项。此日志中的事件保留其来源的通道名称(例如,winlog.channel: Security)。并且由于路由管道基于通道名称处理事件,因此不需要特殊的配置。
winlogbeat.event_logs:
- name: ForwardedEvents
tags: [forwarded]
language: 0x0409 # en-US
output.elasticsearch.pipeline: winlogbeat-%{[agent.version]}-routing