Информация о записях, которые уже были посланы храниться в файле C:\ProgramData\winlogbeat\ .winlogbeat.yml. Это информация хранится в форме «смещений». Поэтому, если вы остановите Winlogbeat, затем измените или удалите этот файл, winlogbeat повторно отправит данные. Удалении приведет к повторной отправке всех данных с начала времени или при использовании ignore_older: 72h, данные за последние 72 часа.
Другой вариант - изменить файл конфигурации. Изменяя record_number, вы можете установить «смещение», с которого Winlogbeat будет возобновлять обработку с каждого журнала.