Winlogbeat: lire tous les fichiers evtx d'un dossier

IneedHelp · May 20, 2020, 9:32am

Bonjour,
J'ai plusieurs fichiers evtx dans un dossier sur clé et je souhaiterai les intégrer dans elastic.
Le problème c'est que pour chaque fichier, je suis actuellement obligé de modifier winlogbeat.yml afin de pointer le fichier en question:

winlogbeat.event_logs:
    - name: 'Path\filename.evtx'

Avec environ 20 fichiers evtx, je souhaite donc éviter de modifier et lancer winlogbeat 20 fois de suite
J'aimerai donc savoir si il y a une méthode semblable à celle de Filebeat ( l'utilisation de '*' ):

- type: log
  paths:
    - Path\*.evtx

afin d'obtenir:

winlogbeat.event_logs:
    - name: 'Path\*.evtx'

Je vous remercie d'avance.

ahmed_charafouddine · May 20, 2020, 9:57am

A priori :

Yes, Winlogbeat can ingest archived .evtx files. When you set the name parameter as the absolute path to an event log file it will read from that file. Here’s an example. First create a new config file for Winlogbeat.

winlogbeat.event_logs:
  - name: ${EVTX_FILE} 
    no_more_events: stop 

winlogbeat.shutdown_timeout: 30s 
winlogbeat.registry_file: evtx-registry.yml 

output.elasticsearch.hosts: ['http://localhost:9200']

Source : https://www.elastic.co/guide/en/beats/winlogbeat/master/reading-from-evtx.html

dadoonet · May 20, 2020, 10:08am

Je ne vois pas de référence à la possibilité d'utiliser des wildcards.

Cet ancien article donne un truc pour le faire: Use wildcards in Channels with Winlogbeat

Il y a une demande de support de cette fonction. Peut-être peux-tu "voter" pour cette demande ?

IneedHelp · May 20, 2020, 1:08pm

Merci pour la réponse.
Cependant de ce que je lis ( si jamais j'ai mal compris ta réponse, n'hésite pas à me le faire savoir ), il s'agit de lire UN fichier evtx archivé ( c'est que je j'utilise actuellement pour faire ingérer l'information à elastic) en précisant le chemin du fichier.
Avec cette méthode, analyser plusieurs fichiers evtx implique de préciser le chemin de chaque fichier un à un ( ce que je voudrais éviter )
Pour être précis mon but final serait d'avoir un dossier dans lequel je mettrai tout les fichiers evtx à ingérer et winlogbeat irait les lire tout seul comme un grand sans que je sois obligé de préciser le chemin de chaque fichier.
Par exemple avec filebeat: si je précise d'aller chercher les fichiers logs dans le dossier "LOGS" sur mon bureau, il me suffit alors de mettre mes fichiers logs dans ce dossier et filebeat fais le reste sans que j'ai à lui pointer chaque fichier un à un

IneedHelp · May 20, 2020, 1:13pm

Merci pour la réponse. Je vais essayer de creuser de ce côté et voter pour cette demande.

system · June 17, 2020, 1:14pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.