Hola @yolena.mora
Lo mejor es que veas esto: https://www.elastic.co/guide/en/beats/winlogbeat/current/configuration-winlogbeat-options.html.
Alli vez un ejemplo para obtener los nombres de las carpetas y logs del event viewer para poder configurarlos luego como un nuevo item del Event Log. Basicamente puedes poner otro nivel dentro de winlogbeat.event_logs para que lea de una carpeta especifica. Y luego hacer restart de Winlogbeats y ya quedaria pronto.
De la parte de Logstash no hay nada que configurar.
Saludos!
--Gabriel