Defender 이벤트

윈도우 Defender도 이벤트 로그를 남긴다. 이벤트 로그명은 Microsoft-Windows-Windows Defender/Operational.

로그명에 중복이 있다. 큰 따옴표는 인식 불가.

작은 따옴표는 인식한다. 그런데 이벤트 뷰어에서 확인되는 메시지가 LogParser에서는 안 됨. 하긴 뭐 이런 적이 한두번인가(..)

다음은 winlogbeat.yml 설정.

winlogbeat.event_logs:
  - name: Microsoft-Windows-Windows Defender/Operational
    ignore_older: 12h

다음은 스플렁크 inputs.conf 설정.

[WinEventLog://Microsoft-Windows-Windows Defender/Operational]
sourcetype = winevent
index = winevent
checkpointInterval = 3

다행히 엘라스틱/스플렁크 연동 시 공백은 신경 안 써도 됨.

24.08.17.

Logparser 접근을 위한 레지스트리 등록이 자꾸 원복 된다. 뭐지?

관련 글

• Logparser의 파일 연동
• Windows Event Log 분석(DNS Request - 3rd)