Winlogbeat

轻量型 Windows 事件日志采集器

用于密切监控基于 Windows 的基础设施上发生的事件。使用 Winlogbeat,将 Windows 事件日志流式传输至 Elasticsearch 和 Logstash。

下载

Winlogbeat 文档

可从任何 Windows 事件日志渠道读取数据

Windows 事件日志中有很多值得学习的地方。是不是对登录成功 (4624) 和登录失败 (4625) 等安全事件感兴趣?想不想了解何时连接了存储设备 (4663) 或者何时安装了新服务 (4798)?Winlogbeat 可进行配置以从任何事件日志渠道进行读取,这样您便可以访问最需要的 Windows 数据。

Screenshot of winlogbeat

发送至 Elasticsearch 或 Logstash。在 Kibana 中实现可视化。

Winlogbeat 支持 Elastic Common Schema (ECS),是 Elastic Stack 的一部分,因此能够与 Logstash、Elasticsearch 和 Kibana 无缝协作。无论您要使用 Logstash 更加有效地转换 Windows 事件日志,还是在 Elasticsearch 中随意处理一些数据分析,亦或在 Kibana 内的仪表板或者 SIEM 应用中查看数据,Winlogbeat 都能让您轻松完成。

不错过任何检测信号

将 Windows 事件日志通过假脱机传输方式输送至磁盘,这样您的数据管道再也不会错过任何一个数据点,即使发生中断(例如网络问题),也勿需担心。Winlogbeat 会保留您的事件,并在重新上线后将这些内容发送至 Elasticsearch 或 Logstash。

开始使用 Winlogbeat

开放源码且自由使用。轻量型安装,简单有趣。有疑问?请访问 Winlogbeat 文档,或者加入我们的 Winlogbeat 论坛

下载