2 votos

Deshágase de la explicación en el registro de mensajes de Windows

Me pregunto si es posible deshacerse (o simplemente no almacenar en el primer lugar) la "explicación" dentro de los eventos con un id específico, como por ejemplo, un evento de clase 4624 (win2008).

Aunque la pregunta es genérica, puedo incluir mi particular caso de uso referencia:

Puedo enviar los registros a través de winlogbeat a un elasticsearch nodo, que se almacena en el campo "mensaje" también la explicación. Aunque es posible configurar winlogbeat ignorar la explicación (a través de una regexp) me gustaría saber si existe la posibilidad, en primer lugar, para no enviar la explicación, por ejemplo, a través de una configuración en el sistema operativo windows.

1voto

Swisstone Puntos 31

La descripción que se está hablando no es almacenada por Windows, pero traducido al leer los eventos.

Sin embargo:

Si el reenvío de Eventos de Windows con Windows Reenvío de Eventos, usted puede configurar el sistema para procesar los eventos antes de la transferencia de los mismos.

En tu caso, parece que has instalado Winlogbeat en el servidor en el que desea recopilar eventos, y Winlogbeat puede representar los eventos antes de la transferencia de los mismos. Usted debe ser capaz de deshabilitar este comportamiento estableciendo eventlog.forwarded a true.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: