Winlogbeat: lire tous les fichiers evtx d'un dossier

Elastic In Your Native Tongue Discussions en français
1

Bonjour,
J'ai plusieurs fichiers evtx dans un dossier sur clé et je souhaiterai les intégrer dans elastic.
Le problème c'est que pour chaque fichier, je suis actuellement obligé de modifier winlogbeat.yml afin de pointer le fichier en question:

winlogbeat.event_logs:
    - name: 'Path\filename.evtx'

Avec environ 20 fichiers evtx, je souhaite donc éviter de modifier et lancer winlogbeat 20 fois de suite
J'aimerai donc savoir si il y a une méthode semblable à celle de Filebeat ( l'utilisation de '*' ):

- type: log
  paths:
    - Path\*.evtx

afin d'obtenir:

winlogbeat.event_logs:
    - name: 'Path\*.evtx'

Je vous remercie d'avance.

2

A priori :

Yes, Winlogbeat can ingest archived .evtx files. When you set the name parameter as the absolute path to an event log file it will read from that file. Here’s an example. First create a new config file for Winlogbeat.

winlogbeat.event_logs:
  - name: ${EVTX_FILE} 
    no_more_events: stop 

winlogbeat.shutdown_timeout: 30s 
winlogbeat.registry_file: evtx-registry.yml 

output.elasticsearch.hosts: ['http://localhost:9200']

Source : https://www.elastic.co/guide/en/beats/winlogbeat/master/reading-from-evtx.html

3

Je ne vois pas de référence à la possibilité d'utiliser des wildcards.

Cet ancien article donne un truc pour le faire: Use wildcards in Channels with Winlogbeat

Il y a une demande de support de cette fonction. Peut-être peux-tu "voter" pour cette demande ?

4

Merci pour la réponse.
Cependant de ce que je lis ( si jamais j'ai mal compris ta réponse, n'hésite pas à me le faire savoir ), il s'agit de lire UN fichier evtx archivé ( c'est que je j'utilise actuellement pour faire ingérer l'information à elastic) en précisant le chemin du fichier.
Avec cette méthode, analyser plusieurs fichiers evtx implique de préciser le chemin de chaque fichier un à un ( ce que je voudrais éviter )
Pour être précis mon but final serait d'avoir un dossier dans lequel je mettrai tout les fichiers evtx à ingérer et winlogbeat irait les lire tout seul comme un grand sans que je sois obligé de préciser le chemin de chaque fichier.
Par exemple avec filebeat: si je précise d'aller chercher les fichiers logs dans le dossier "LOGS" sur mon bureau, il me suffit alors de mettre mes fichiers logs dans ce dossier et filebeat fais le reste sans que j'ai à lui pointer chaque fichier un à un

5

Merci pour la réponse. Je vais essayer de creuser de ce côté et voter pour cette demande.

6

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.