Избавиться от объяснений в журнале сообщений Windows

Мне интересно, можно ли избавиться (или просто не хранить в первую очередь) "объяснение" внутри событий с определенным идентификатором, например, событие класса 4624 (win2008).

Хотя вопрос является общим, я включаю мой конкретный вариант использования в качестве ссылки:

Я отправляю логи через winlogbeat на узел эластичного поиска, который хранит в поле "сообщение" также объяснение. Хотя возможно настроить winlogbeat, игнорировать объяснение (через регулярное выражение), я хотел бы знать, есть ли возможность, во-первых, не отправлять объяснение, например, через конфигурацию в ОС Windows.

1 ответ

Решение

Описание, о котором вы говорите, не сохраняется в Windows, а отображается при чтении событий.

Тем не мение:

Если вы пересылаете события Windows с помощью пересылки событий Windows, вы можете настроить систему для отображения событий перед их передачей.

В вашем случае кажется, что вы установили Winlogbeat на сервере, на котором вы хотите собирать события, и Winlogbeat может отрисовывать события перед их передачей. Вы должны иметь возможность отключить это поведение , установив eventlog.forwarded в true,

Другие вопросы по тегам