模块
编辑模块编辑
Winlogbeat 模块在 8.0.0 中已更改为使用 Elasticsearch Ingest Node 进行处理。如果您从 7.x 升级,请查看文档并查看默认配置文件。
本节包含有关 Winlogbeat 中包含的可用 Windows 事件日志处理模块的详细信息。有关每个模块的更多详细信息,请参阅模块文档。
Winlogbeat 模块使用 Elasticsearch Ingest Node 管道实现。事件在 Elasticsearch 中接收其转换。所有事件都将通过 Winlogbeat 的“路由”管道发送,该管道根据其 winlog.channel 值将事件路由到特定模块管道。
Winlogbeat 的默认配置文件包含将所有事件发送到路由管道的选项。如果您删除此选项,则不会应用模块处理。
output.elasticsearch.pipeline: winlogbeat-%{[agent.version]}-routing
每个模块的总体目标是通过将字段重命名以符合 Elastic Common Schema (ECS) 来转换事件。模块还可以根据需要应用额外的分类、标记和解析。
提供的模块仅支持英文事件。有关如何在 winlogbeat 中配置语言的更多信息,请参阅 Winlogbeat。
Ingest Node 管道的设置编辑
如果您想将模块处理应用于事件,则必须将 Winlogbeat 的 Ingest Node 管道安装到 Elasticsearch。最简单的入门方法是使用 Elasticsearch 输出,Winlogbeat 会在第一次连接到 Elasticsearch 时自动安装管道。
安装方法
与转发事件一起使用编辑
在使用 ForwardedEvents 通道时,不需要特殊的配置选项。此日志中的事件保留其来源的通道名称(例如 winlog.channel: Security)。由于路由管道根据通道名称处理事件,因此不需要特殊配置。
winlogbeat.event_logs:
- name: ForwardedEvents
tags: [forwarded]
language: 0x0409 # en-US
output.elasticsearch.pipeline: winlogbeat-%{[agent.version]}-routing