Winlogbeat는
실시간 기록되는 이벤트 로그는 물론 별도 저장된 이벤트 로그 파일 연동도 지원한다.
winlogbeat.event_logs: - name: 'C:\backup\sysmon-2019.08.evtx'
문제는 파일 연동 시 단일 파일 단위로만 연동을 지원하며, 와일드카드 등을 이용한 다수 파일 단위의 연동은 지원하지 않는다는 것.
LogParser는 지원하는데
그래서 연동 대상 파일이 여러 개라면 대상 파일 모두를 지정해줘야 한다.
처리 결과는 다음과 같으며, 지정된 이벤트 로그들이 섞여서 처리됨을 알 수 있다. 즉 다수 파일을 연동하면 병렬 처리가 이루어진다.
d:\ELK\winlogbeat-7.10.0-windows-x86_64>winlogbeat.exe
{
"@timestamp": "2020-05-29T10:12:52.439Z",
"@metadata": {
"beat": "winlogbeat",
"type": "_doc",
"version": "7.10.0"
},
"winlog": {
"provider_name": "Microsoft Office 16 Alerts"
}
}
{
"@timestamp": "2020-06-27T10:26:57.477Z",
"@metadata": {
"beat": "winlogbeat",
"type": "_doc",
"version": "7.10.0"
},
"winlog": {
"provider_name": "Microsoft-Windows-WindowsSystemAssessmentTool"
}
}
{
"@timestamp": "2020-08-23T08:58:06.234Z",
"@metadata": {
"beat": "winlogbeat",
"type": "_doc",
"version": "7.10.0"
},
"winlog": {
"provider_name": "Microsoft Office 16 Alerts"
}
}
이때 연동 파일 개수가 너무 많다면 성능 저하 등의 문제가 발생할 수 있다.
(일일이 지정해주는 것도 일) 그런 상황이 우려된다면 순서대로 하나씩 처리하는 것도 방법.
Winlogbeat는 연동 대상 파일의 변수 처리를 지원한다.
이후
for 반복문으로 Winlogbeat 실행.
d:\ELK\winlogbeat-7.10.0-windows-x86_64>for /f %i in ('dir /b d:\eventlog\*.evtx') do winlogbeat -c winlogbeat.yml -E EVTX_FILE=d:\eventlog\%i
d:\ELK\winlogbeat-7.10.0-windows-x86_64>winlogbeat -c winlogbeat.yml -E EVTX_FILE=d:\eventlog\a.evtx
{
"@timestamp": "2020-05-29T10:12:52.439Z",
"@metadata": {
"beat": "winlogbeat",
"type": "_doc",
"version": "7.10.0"
},
"winlog": {
"provider_name": "Microsoft Office 16 Alerts"
}
}
d:\ELK\winlogbeat-7.10.0-windows-x86_64>winlogbeat -c winlogbeat.yml -E EVTX_FILE=d:\eventlog\b.evtx
{
"@timestamp": "2020-05-29T12:58:50.442Z",
"@metadata": {
"beat": "winlogbeat",
"type": "_doc",
"version": "7.10.0"
},
"winlog": {
"provider_name": "Microsoft-Windows-WindowsSystemAssessmentTool"
}
}
관련 글
댓글 없음:
댓글 쓰기