Избавиться от объяснений в журнале сообщений Windows
Мне интересно, можно ли избавиться (или просто не хранить в первую очередь) "объяснение" внутри событий с определенным идентификатором, например, событие класса 4624 (win2008).
Хотя вопрос является общим, я включаю мой конкретный вариант использования в качестве ссылки:
Я отправляю логи через winlogbeat на узел эластичного поиска, который хранит в поле "сообщение" также объяснение. Хотя возможно настроить winlogbeat, игнорировать объяснение (через регулярное выражение), я хотел бы знать, есть ли возможность, во-первых, не отправлять объяснение, например, через конфигурацию в ОС Windows.
1 ответ
Описание, о котором вы говорите, не сохраняется в Windows, а отображается при чтении событий.
Тем не мение:
Если вы пересылаете события Windows с помощью пересылки событий Windows, вы можете настроить систему для отображения событий перед их передачей.
В вашем случае кажется, что вы установили Winlogbeat на сервере, на котором вы хотите собирать события, и Winlogbeat может отрисовывать события перед их передачей. Вы должны иметь возможность отключить это поведение , установив eventlog.forwarded
в true
,