Настройка winlogbeat для контроллеров домена

Привет. Подскажите как правильно настроить. Есть сервер srvlog, он собирает все логи с контроллеров домена (forward event).
Как настроить WinLogbeat для отправки логов, полученных этим сервером?
Моя конфигурация сейчас:
winlogbeat.event_logs:

  • имя: Приложение
    ignore_older: 72h
  • имя: Безопасность
  • имя: Система

Теги не указаны

output.logstash:
хосты: ["192.168.1.4:5044"]

logging.level: info
logging.to_files: true
logging.files:
путь: C:/Program Files/Winlogbeat/logs
name: winlogbeat
keepfiles: 7

Мне нужно получать события для авторизации и доступа пользователей AD