« 自定义 Windows ETW 包 Wiz »
Elastic 文档 Elastic 集成 Windows

自定义 Windows 事件日志包

编辑

自定义 Windows 事件日志包

编辑

版本

2.1.2 (查看全部)

兼容的 Kibana 版本

8.10.1 或更高版本

支持的 Serverless 项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

自定义 Windows 事件日志包允许您从任何 Windows 事件日志通道摄取事件。您可以通过在 Windows Vista 或更高版本的 PowerShell 中运行 Get-WinEvent -ListLog * | Format-List -Property LogName 来获取可用事件日志通道的列表。如果 Get-WinEvent 不可用,则可以使用 Get-EventLog *。可以通过在Ingest Node Pipelines中设置自定义摄取管道。

配置

编辑
Windows 事件 ID 子句限制
编辑

如果您指定超过 22 个查询条件(事件 ID 或事件 ID 范围),由于查询系统的限制,某些版本的 Windows 将阻止集成读取事件日志。如果发生这种情况,将显示如下警告

The specified query is invalid.

在某些情况下,限制可能低于 22 个条件。例如,使用范围和单个事件 ID 的混合,以及诸如 忽略较旧的 之类的附加参数,会导致限制为 21 个条件。

如果您有超过 22 个条件,可以通过使用 drop_event 处理器在 filebeat 从 Windows 接收事件后进行过滤来解决此 Windows 限制。下面显示的过滤器等效于 event_id: 903, 1024, 2000-2004, 4624,但可以扩展到 22 个以上的事件 ID。

- drop_event.when.not.or:
  - equals.winlog.event_id: "903"
  - equals.winlog.event_id: "1024"
  - equals.winlog.event_id: "4624"
  - range:
      winlog.event_id.gte: 2000
      winlog.event_id.lte: 2004

字段映射

编辑

除了下面指定的字段之外,此集成还包括 ECS 动态模板。任何遵循 ECS 模式的字段都将被分配正确的索引字段映射,无需手动添加。

导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

cloud.image.id

云实例的映像 ID。

关键词

cloud.project.id

Google Cloud 中项目的名称。

关键词

data_stream.dataset

数据流数据集。

常量_关键词

data_stream.namespace

数据流命名空间。

常量_关键词

data_stream.type

数据流类型。

常量_关键词

host.containerized

如果主机是容器。

布尔

host.os.build

操作系统构建信息。

关键词

host.os.codename

操作系统代号(如果有)。

关键词

winlog.activity_id

用于标识当前活动的全局唯一标识符。使用此标识符发布的事件是同一活动的一部分。

关键词

winlog.api

用于读取记录的事件日志 API 类型。可能的值为“wineventlog”(表示 Windows 事件日志 API)或“eventlogging”(表示事件日志记录 API)。事件日志记录 API 专为 Windows Server 2003 或 Windows 2000 操作系统设计。在 Windows Vista 中,事件日志记录基础结构经过重新设计。在 Windows Vista 或更高版本的操作系统上,使用 Windows 事件日志 API。Winlogbeat 会自动检测使用哪个 API 来读取事件日志。

关键词

winlog.channel

从中读取此记录的通道的名称。此值是配置中 event_logs 集合中的名称之一。

关键词

winlog.computerObject.domain

关键词

winlog.computerObject.id

关键词

winlog.computerObject.name

关键词

winlog.computer_name

生成记录的计算机的名称。当使用 Windows 事件转发时,此名称可能与 agent.hostname 不同。

关键词

winlog.event_data

特定于事件的数据。此字段与 user_data 互斥。如果您在 Windows Vista 之前的版本上捕获事件数据,则 event_data 中的参数被命名为 param1param2,依此类推,因为在早期版本的 Windows 中,事件日志参数未命名。

对象

winlog.event_data.AccessGranted

关键词

winlog.event_data.AccessRemoved

关键词

winlog.event_data.AccountDomain

关键词

winlog.event_data.AccountExpires

关键词

winlog.event_data.AccountName

关键词

winlog.event_data.AllowedToDelegateTo

关键词

winlog.event_data.AuditPolicyChanges

关键词

winlog.event_data.AuditPolicyChangesDescription

关键词

winlog.event_data.AuditSourceName

关键词

winlog.event_data.AuthenticationPackageName

关键词

winlog.event_data.Binary

关键词

winlog.event_data.BitlockerUserInputTime

关键词

winlog.event_data.BootMode

关键词

winlog.event_data.BootType

关键词

winlog.event_data.BuildVersion

关键词

winlog.event_data.CallerProcessId

关键词

winlog.event_data.CallerProcessName

关键词

winlog.event_data.Category

关键词

winlog.event_data.CategoryId

关键词

winlog.event_data.ClientAddress

关键词

winlog.event_data.ClientName

关键词

winlog.event_data.CommandLine

关键词

winlog.event_data.Company

关键词

winlog.event_data.CorruptionActionState

关键词

winlog.event_data.CrashOnAuditFailValue

关键词

winlog.event_data.CreationUtcTime

关键词

winlog.event_data.Description

关键词

winlog.event_data.Detail

关键词

winlog.event_data.DeviceName

关键词

winlog.event_data.DeviceNameLength

关键词

winlog.event_data.DeviceTime

关键词

winlog.event_data.DeviceVersionMajor

关键词

winlog.event_data.DeviceVersionMinor

关键词

winlog.event_data.DisplayName

关键词

winlog.event_data.DomainBehaviorVersion

关键词

winlog.event_data.DomainName

关键词

winlog.event_data.DomainPolicyChanged

关键词

winlog.event_data.DomainSid

关键词

winlog.event_data.DriveName

关键词

winlog.event_data.DriverName

关键词

winlog.event_data.DriverNameLength

关键词

winlog.event_data.Dummy

关键词

winlog.event_data.DwordVal

关键词

winlog.event_data.EntryCount

关键词

winlog.event_data.EventSourceId

关键词

winlog.event_data.ExtraInfo

关键词

winlog.event_data.FailureName

关键词

winlog.event_data.FailureNameLength

关键词

winlog.event_data.FailureReason

关键词

winlog.event_data.FileVersion

关键词

winlog.event_data.FinalStatus

关键词

winlog.event_data.Group

关键词

winlog.event_data.GroupTypeChange

关键词

winlog.event_data.HandleId

关键词

winlog.event_data.HomeDirectory

关键词

winlog.event_data.HomePath

关键词

winlog.event_data.IdleImplementation

关键词

winlog.event_data.IdleStateCount

关键词

winlog.event_data.ImpersonationLevel

关键词

winlog.event_data.IntegrityLevel

关键词

winlog.event_data.IpAddress

关键词

winlog.event_data.IpPort

关键词

winlog.event_data.KerberosPolicyChange

关键词

winlog.event_data.KeyLength

关键词

winlog.event_data.LastBootGood

关键词

winlog.event_data.LastShutdownGood

关键词

winlog.event_data.LmPackageName

关键词

winlog.event_data.LogonGuid

关键词

winlog.event_data.LogonHours

关键词

winlog.event_data.LogonID

关键词

winlog.event_data.LogonId

关键词

winlog.event_data.LogonProcessName

关键词

winlog.event_data.LogonType

关键词

winlog.event_data.MachineAccountQuota

关键词

winlog.event_data.MajorVersion

关键词

winlog.event_data.MandatoryLabel

关键词

winlog.event_data.MaximumPerformancePercent

关键词

winlog.event_data.MemberName

关键词

winlog.event_data.MemberSid

关键词

winlog.event_data.MinimumPerformancePercent

关键词

winlog.event_data.MinimumThrottlePercent

关键词

winlog.event_data.MinorVersion

关键词

winlog.event_data.MixedDomainMode

关键词

winlog.event_data.NewProcessId

关键词

winlog.event_data.NewProcessName

关键词

winlog.event_data.NewSchemeGuid

关键词

winlog.event_data.NewSd

关键词

winlog.event_data.NewSdDacl0

关键词

winlog.event_data.NewSdDacl1

关键词

winlog.event_data.NewSdDacl2

关键词

winlog.event_data.NewSdSacl0

关键词

winlog.event_data.NewSdSacl1

关键词

winlog.event_data.NewSdSacl2

关键词

winlog.event_data.NewTargetUserName

关键词

winlog.event_data.NewTime

关键词

winlog.event_data.NewUACList

关键词

winlog.event_data.NewUacValue

关键词

winlog.event_data.NominalFrequency

关键词

winlog.event_data.Number

关键词

winlog.event_data.ObjectName

关键词

winlog.event_data.ObjectServer

关键词

winlog.event_data.ObjectType

关键词

winlog.event_data.OemInformation

关键词

winlog.event_data.OldSchemeGuid

关键词

winlog.event_data.OldSd

关键词

winlog.event_data.OldSdDacl0

关键词

winlog.event_data.OldSdDacl1

关键词

winlog.event_data.OldSdDacl2

关键词

winlog.event_data.OldSdSacl0

关键词

winlog.event_data.OldSdSacl1

关键词

winlog.event_data.OldSdSacl2

关键词

winlog.event_data.OldTargetUserName

关键词

winlog.event_data.OldTime

关键词

winlog.event_data.OldUacValue

关键词

winlog.event_data.OriginalFileName

关键词

winlog.event_data.PackageName

关键词

winlog.event_data.ParentProcessName

关键词

winlog.event_data.PasswordHistoryLength

关键词

winlog.event_data.PasswordLastSet

关键词

winlog.event_data.Path

关键词

winlog.event_data.PerformanceImplementation

关键词

winlog.event_data.PreAuthType

关键词

winlog.event_data.PreviousCreationUtcTime

关键词

winlog.event_data.PreviousTime

关键词

winlog.event_data.PrimaryGroupId

关键词

winlog.event_data.PrivilegeList

关键词

winlog.event_data.ProcessId

关键词

winlog.event_data.ProcessName

关键词

winlog.event_data.ProcessPath

关键词

winlog.event_data.ProcessPid

关键词

winlog.event_data.Product

关键词

winlog.event_data.ProfilePath

关键词

winlog.event_data.PuaCount

关键词

winlog.event_data.PuaPolicyId

关键词

winlog.event_data.QfeVersion

关键词

winlog.event_data.Reason

关键词

winlog.event_data.SamAccountName

关键词

winlog.event_data.SchemaVersion

关键词

winlog.event_data.ScriptBlockText

关键词

winlog.event_data.ScriptPath

关键词

winlog.event_data.Service

关键词

winlog.event_data.ServiceAccount

关键词

winlog.event_data.ServiceFileName

关键词

winlog.event_data.ServiceName

关键词

winlog.event_data.ServiceSid

关键词

winlog.event_data.ServiceStartType

关键词

winlog.event_data.ServiceType

关键词

winlog.event_data.ServiceVersion

关键词

winlog.event_data.SessionName

关键词

winlog.event_data.ShutdownActionType

关键词

winlog.event_data.ShutdownEventCode

关键词

winlog.event_data.ShutdownReason

关键词

winlog.event_data.SidFilteringEnabled

关键词

winlog.event_data.SidHistory

关键词

winlog.event_data.Signature

关键词

winlog.event_data.SignatureStatus

关键词

winlog.event_data.Signed

关键词

winlog.event_data.StartTime

关键词

winlog.event_data.State

关键词

winlog.event_data.Status

关键词

winlog.event_data.StatusDescription

关键词

winlog.event_data.StopTime

关键词

winlog.event_data.SubCategory

关键词

winlog.event_data.SubCategoryGuid

关键词

winlog.event_data.SubCategoryId

关键词

winlog.event_data.SubStatus

关键词

winlog.event_data.SubcategoryGuid

关键词

winlog.event_data.SubcategoryId

关键词

winlog.event_data.SubjectDomainName

关键词

winlog.event_data.SubjectLogonId

关键词

winlog.event_data.SubjectUserName

关键词

winlog.event_data.SubjectUserSid

关键词

winlog.event_data.TSId

关键词

winlog.event_data.TargetDomainName

关键词

winlog.event_data.TargetInfo

关键词

winlog.event_data.TargetLogonGuid

关键词

winlog.event_data.TargetLogonId

关键词

winlog.event_data.TargetServerName

关键词

winlog.event_data.TargetSid

关键词

winlog.event_data.TargetUserName

关键词

winlog.event_data.TargetUserSid

关键词

winlog.event_data.TdoAttributes

关键词

winlog.event_data.TdoDirection

关键词

winlog.event_data.TdoType

关键词

winlog.event_data.TerminalSessionId

关键词

winlog.event_data.TicketEncryptionType

关键词

winlog.event_data.TicketEncryptionTypeDescription

关键词

winlog.event_data.TicketOptions

关键词

winlog.event_data.TicketOptionsDescription

关键词

winlog.event_data.TokenElevationType

关键词

winlog.event_data.TransmittedServices

关键词

winlog.event_data.UserAccountControl

关键词

winlog.event_data.UserParameters

关键词

winlog.event_data.UserPrincipalName

关键词

winlog.event_data.UserSid

关键词

winlog.event_data.UserWorkstations

关键词

winlog.event_data.Version

关键词

winlog.event_data.Workstation

关键词

winlog.event_data.WorkstationName

关键词

winlog.event_data.param1

关键词

winlog.event_data.param2

关键词

winlog.event_data.param3

关键词

winlog.event_data.param4

关键词

winlog.event_data.param5

关键词

winlog.event_data.param6

关键词

winlog.event_data.param7

关键词

winlog.event_data.param8

关键词

winlog.event_id

事件标识符。该值特定于事件的源。

关键词

winlog.keywords

关键字用于对事件进行分类。

关键词

winlog.level

事件严重性。级别为严重、错误、警告和信息、详细

关键词

winlog.opcode

事件中定义的操作码。任务和操作码通常用于标识应用程序中记录事件的位置。

关键词

winlog.outcome

事件的成功或失败。

关键词

winlog.process.pid

客户端服务器运行时进程的 process_id。

长整型

winlog.process.thread.id

长整型

winlog.provider_guid

用于标识记录事件的提供程序的全局唯一标识符。

关键词

winlog.provider_name

事件日志记录的来源(记录此记录的应用程序或服务)。

关键词

winlog.record_id

事件日志记录的记录 ID。写入事件日志的第一条记录的记录号为 1,其他记录按顺序编号。如果记录号达到最大值(事件日志 API 为 232,Windows 事件日志 API 为 264),则下一个记录号将为 0。

关键词

winlog.related_activity_id

一个全局唯一标识符,用于标识控制权转移到的活动。相关事件将使用此标识符作为其 activity_id 标识符。

关键词

winlog.task

事件中定义的任务。任务和操作码通常用于标识应用程序中记录事件的位置。事件日志 API(在 Windows Vista 之前的操作系统上)使用的类别会写入此字段。

关键词

winlog.time_created

事件创建时间

日期

winlog.trustAttribute

关键词

winlog.trustDirection

关键词

winlog.trustType

关键词

winlog.user.domain

与此事件关联的帐户所属的域。

关键词

winlog.user.identifier

与此事件关联的帐户的 Windows 安全标识符 (SID)。如果 Winlogbeat 无法将 SID 解析为名称,则事件中将省略 user.nameuser.domainuser.type 字段。如果您发现 Winlogbeat 未解析 SID,请查看日志以查找问题线索。

关键词

winlog.user.name

与此事件关联的用户的名称。

关键词

winlog.user.type

与此事件关联的帐户类型。

关键词

winlog.user_data

事件特定数据。此字段与 event_data 互斥。

对象

winlog.user_data.BackupPath

关键词

winlog.user_data.Channel

关键词

winlog.user_data.SubjectDomainName

关键词

winlog.user_data.SubjectLogonId

关键词

winlog.user_data.SubjectUserName

关键词

winlog.user_data.SubjectUserSid

关键词

winlog.user_data.xml_name

关键词

winlog.version

事件定义的版本号。

长整型

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

2.1.2

增强功能 (查看拉取请求)
当 Winlog 启用时,添加缺失的 preserve_original_event 标签

8.10.1 或更高版本

2.1.1

增强功能 (查看拉取请求)
更改了所有者

8.10.1 或更高版本

2.1.0

增强功能 (查看拉取请求)
ECS 版本已更新至 8.11.0。

8.10.1 或更高版本

2.0.0

重大更改 (查看拉取请求)
转换为输入包。

8.10.1 或更高版本

1.20.0

增强功能 (查看拉取请求)
ECS 版本已更新至 8.10.0。

8.7.1 或更高版本

1.19.0

增强功能 (查看拉取请求)
包清单中的 format_version 从 2.11.0 更改为 3.0.0。从包清单中删除了点分隔的 YAML 键。将 *owner.type: elastic* 添加到包清单。

8.7.1 或更高版本

1.18.0

增强功能 (查看拉取请求)
添加 tags.yml 文件,以便将集成的仪表板和已保存的搜索标记为“安全解决方案”,并在安全解决方案 UI 中显示。

8.7.1 或更高版本

1.17.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.9.0。

8.7.1 或更高版本

1.16.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.8.0。

8.7.1 或更高版本

1.15.0

增强功能 (查看拉取请求)
将 package-spec 版本更新到 2.7.0。

8.7.1 或更高版本

1.14.0

增强功能 (查看拉取请求)
添加新标志以启用请求跟踪

8.7.1 或更高版本

1.13.1

增强功能 (查看拉取请求)
记录在某些情况下 21 个事件 ID 子句限制。

7.16.0 或更高版本
8.0.0 或更高版本

1.13.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.7.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.12.4

增强功能 (查看拉取请求)
改进了列出事件日志通道的文档。

7.16.0 或更高版本
8.0.0 或更高版本

1.12.3

增强功能 (查看拉取请求)
添加了类别和/或子类别。

7.16.0 或更高版本
8.0.0 或更高版本

1.12.2

Bug 修复 (查看拉取请求)
通过设置为日期而不是关键字来修复 winlog.time_created 的映射

7.16.0 或更高版本
8.0.0 或更高版本

1.12.1

增强功能 (查看拉取请求)
修复 event.dataset 以允许自定义数据集并符合 ECS。

7.16.0 或更高版本
8.0.0 或更高版本

1.12.0

增强功能 (查看拉取请求)
添加 ecs 错误字段

7.16.0 或更高版本
8.0.0 或更高版本

1.11.0

增强功能 (查看拉取请求)
添加代理字段

7.16.0 或更高版本
8.0.0 或更高版本

1.10.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.6.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.9.0

增强功能 (查看拉取请求)
允许用户配置提供程序列表。

7.16.0 或更高版本
8.0.0 或更高版本

1.8.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.5.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.7.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.4.0

7.16.0 或更高版本
8.0.0 或更高版本

1.6.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.3.0。

7.16.0 或更高版本
8.0.0 或更高版本

1.5.2

Bug 修复 (查看拉取请求)
为 event.created 添加正确的字段映射

7.16.0 或更高版本
8.0.0 或更高版本

1.5.1

增强功能 (查看拉取请求)
更新了自述文件,添加了指向 Microsoft 文档的链接并重新措辞了链接

7.16.0 或更高版本
8.0.0 或更高版本

1.5.0

增强功能 (查看拉取请求)
更新到 ECS 8.2(仅限文档参考)

7.16.0 或更高版本
8.0.0 或更高版本

1.4.0

增强功能 (查看拉取请求)
公开 winlog 输入 ignore_older 选项。

Bug 修复 (查看拉取请求)
修复保留原始事件选项

增强功能 (查看拉取请求)
使选项顺序与其他基于 winlog 的集成保持一致。

7.16.0 或更高版本
8.0.0 或更高版本

1.3.0

增强功能 (查看拉取请求)
公开 winlog 输入语言选项。

7.16.0 或更高版本
8.0.0 或更高版本

1.2.0

增强功能 (查看拉取请求)
添加 8.0.0 版本约束

7.16.0 或更高版本
8.0.0 或更高版本

1.1.2

增强功能 (查看拉取请求)
与指南保持一致

7.16.0 或更高版本

1.1.1

增强功能 (查看拉取请求)
更新 Splunk 输入描述

1.1.0

Bug 修复 (查看拉取请求)
在 Windows 集成中一致地映射消息字段。

7.16.0 或更高版本

1.0.3

增强功能 (查看拉取请求)
更新标题和说明。

7.16.0 或更高版本

1.0.2

Bug 修复 (查看拉取请求)
修复检查 *forwarded* 标记的逻辑

1.0.1

Bug 修复 (查看拉取请求)
通过在条件中使用事件 ID 字符串值来修复 drop_event 处理器示例。

1.0.0

增强功能 (查看拉取请求)
使其成为 GA

0.4.0

增强功能 (查看拉取请求)
更新集成说明

0.3.0

增强功能 (查看拉取请求)
设置“event.module”和“event.dataset”

0.2.2

增强功能 (查看拉取请求)
添加对 Splunk 授权令牌的支持

0.2.1

增强功能 (查看拉取请求)
更改 Splunk 输入以使用 decode_xml_wineventlog 处理器。

0.2.0

增强功能 (查看拉取请求)
添加 Splunk httpjson 输入

0.1.0

增强功能 (查看拉取请求)
初始版本

« 自定义 Windows ETW 包 Wiz »