我想知道是否有可能摆脱(或者根本不存储)具有特定 ID 的事件中的“解释”,例如类事件4624(Win2008)。
尽管这个问题很笼统,但我还是将我的特定用例作为参考:
我通过 winlogbeat 将日志发送到 elasticsearch 节点,该节点在字段“message”中还存储了解释。虽然可以配置 winlogbeat 忽略解释(通过正则表达式),但我想知道是否有可能首先不发送解释,例如通过 Windows 操作系统中的配置。
答案1
您所说的描述不是由 Windows 存储的,而是在您读取事件时呈现的。
然而:
如果您使用 Windows 事件转发功能转发 Windows 事件,则可以将系统配置为在传输事件之前先渲染事件。
就你的情况而言,你似乎在要收集事件的服务器上安装了 Winlogbeat,并且 Winlogbeat 可以在传输事件之前呈现事件。你应该能够禁用此行为通过设置eventlog.forwarded为true。