В Security есть события 4663 от разных пользователей, но в logstash приходят только от одного.
А эти события с этой машины или они были отфорвардены?
Игорь, спасибо за помощь, опять я немного туплю, потому что на 100% не знаю как работает winlogbeat. Все события отправились, их очень много и поэтому winlogbeat их долго копировал.
Но все же еще есть один вопрос:
На файл сервере в конфиге winlogbeat следующий конфиг:
winlogbeat.event_logs:
- name: Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
event_id: 21, 23, 24, 25, 39
tags: ["windows"]
processors:- include_fields:
fields: ["event_id", "host.name", "user_data.Address", "user_data.User", "tags"]
winlogbeat.event_logs:- name: Security
ignore_older: 4h
event_id: 4663
tags: ["storage"]
Winlogbeat отправляет логи двух журналов в logstash, в первом журнале я отправляю (21, 23, 24, 25, 39) ID, а из второго 4663 ID. Для первого журнала у меня стоит ограничение по отправляемым полям, для того чтобы в elasticsearch было меньше мусора и это ограничение так же режет поля и для второго журнала, как мне для второго журнала (Security) задать свои ограничения?
Все таки нет, winlogbeat не все события отсылает...
Как сделать конфиг, чтобы event_id: 21, 23, 24, 25, 39 отправлялись с одним тэгом, а event_id: 4663 с другим тэгом?
А эти события с этой машины или они были отфорвардены?
А что, конфиг выше не работает? Каким образом он не работает?
Да, события с этой машины, но в разных журналах.
Отправляются только event_id: 4663 с тэгом "storage".
А если так?
winlogbeat.event_logs:
- name: Microsoft-Windows-TerminalServices-LocalSessionManager/Operational
event_id: 21, 23, 24, 25, 39
tags: ["windows"]
- name: Security
ignore_older: 4h
event_id: 4663
tags: ["storage"]
processors:
- include_fields:
fields: ["event_id", "host.name", "user_data.Address", "user_data.User", "tags"]
1 Like
А вот так работает)
Спасибо!
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.