Winlogbeat官方手冊學習

本文寫于本科畢設期間，是對winlogbeat官方檔案的學習，不做他用，僅以此來記錄我的畢設之旅，

winlogbeat概述

將windows事件發送到elasticsearch或者logstash，本次畢設將winlogbeat連接到elasticsearch，是一個windows服務，
使用windows API讀取一個或者多個日志，根據用戶自定義規則來過濾威脅事件日志，并且將事件發送到Elasticsearch

Winlogbeat 可以從系統上運行的任何事件日志中捕獲事件資料，例如：
application events 應用程式事件
hardware events 硬體事件
security events 安全事件
system events 系統事件

winlogbeat本質是一個輕量的Beat，基于libbeat框架，
由于只用來實驗用，因此沒有對winlogbeat設定密碼

winlogbeat命令

export 將配置、索引模板、 ILM 策略或指示板匯出到 stdout，可以使用此命令快速查看您的配置，查看索引模板和 ILM 策略的內容，或者從 Kibana 匯出一個儀表板

引數——
config：winlogbeat.yml配置資訊

dashboard：匯出一個指示板，您可以使用此選項將儀表板存盤在模塊中的磁盤上并自動加載它，例如，要將儀表板匯出到 JSON 檔案，請運行:

winlogbeat export dashboard --id="DASHBOARD_ID" > dashboard.json

要查找 DASHBOARD _ id，請查看 Kibana 的 DASHBOARD 的 URL，默認情況下，export 儀表板將儀表板寫入 stdout，該示例演示如何將儀表板寫入 JSON 檔案，以便以后可以匯入它，JSON 檔案將包含所有可視化和搜索的儀表板，

dashboard id：顯示在url中的一串字符

要加載 dashboard，請將生成的 dashboard.json 檔案復制到 Winlogbeat 的 kibana/6/dashboard 目錄，并運行

Winlogbeat setup -- dashboards 

匯入 dashboard

template: 匯出模板， --dir="temp"指定匯出檔案的位置

help 幫助
keystore 管理密鑰
run 運行winlogbeat
引數——
-n：該選項禁用除檔案輸出以外的所有輸出
–cpuprofile FILE：將CPU profile資料寫入指定檔案，這個選項對于排除Winlogbeat故障很有用，
—httpprof [HOST]:PORT：啟動http服務器進行分析，這個選項對于排除故障和分析Winlogbeat非常有用，
–memprofile FILE：將記憶體組態檔資料寫入指定的輸出檔案，這個選項對于排除Winlogbeat故障很有用

setup 設定初始環境，包括索引模板、 ILM 策略和寫別名，以及 Kibana 儀表板
引數——
–dashboards：設定Kibana儀表板，這個選項從Winlogbeat包中加載儀表板，
–index-management：設定與Elasticsearch索引管理相關的組件，包括模板、ILM策略和寫別名

winlogbeat setup --dashboards
winlogbeat setup --machine-learning
winlogbeat setup --index-management

test 測驗配置

winlogbeat test SUBCOMMAND [FLAGS]

引數——
config：測驗配置資訊
output：測驗Winlogbeat是否可以通過使用當前設定連接到輸出
version 版本

全域引數：
-E：覆寫特定的配置設定，可以指定多個重寫
例如

winlogbeat -E "name=mybeat" -E "output.elasticsearch.hosts=['http://myhost:9200']"

此設定應用于當前運行的Winlogbeat行程，Winlogbeat組態檔未修改，

-c：指定用于Winlogbeat的組態檔， 在此處指定的檔案是相對于path.config的， 如果未指定-c標志，則使用默認組態檔winlogbeat.yml，

-d：為指定的選擇器啟用除錯， 對于選擇器，您可以指定一個逗號分隔的組件串列，也可以使用-d“ *”啟用所有組件的除錯， 例如，-d“ publish”顯示所有與“ publish”相關的訊息，

-e：登錄到stderr并禁用syslog /檔案輸出，

winlogbeat組態檔

默認的組態檔名為 winlogbeat.yml

winlogbeat

該部分指定了要監視的事件日志串列，例如：

name: Application
    ignore_older: 72h
name: System
name: Security

可以在 winlogbeat.yml 組態檔的 winlogbeat 部分指定以下選項:
registry_file: Winlogbeat存盤資訊的檔案名，這些資訊用于重啟后恢復監控，默認情況下，該檔案存盤為.winlogbeat.yml

winlogbeat.registry_file: C:/ProgramData/winlogbeat/.winlogbeat.yml

shutdown_timeout :關閉時等待發布所有事件的時間，也就是關閉遲延，默認情況下沒有關閉超時，因此 Winlogbeat 將不等待就停止，重新啟動時，它將從每個事件日志中上次成功發布的事件中恢復，
有效時間單位為 ns，us，ms，s，m，h

winlogbeat.shutdown_timeout: 30s

event_logs:指定要監視的事件日志，串列中的每個條目都定義了要監視的事件日志，以及與事件日志相關聯的任何資訊(篩選器、標記等)，Name 欄位是每個事件日志唯一需要的欄位，

winlogbeat.event_logs:
	- name: Application

event_logs.batch_read_size:單個批處理讀取的事件日志記錄的最大數量，默認批處理大小為100，如果值大于1024，大多數 Windows 版本將回傳一個錯誤，此選項僅適用于支持 Windows 事件日志 API （vista or newer）的作業系統，

單個批處理：Winlogbeat 啟動一個 goroutine (一個輕量級執行緒)來讀取每個單獨的事件日志，Goroutine 使用 Windows API 讀取一批事件日志記錄，將任何處理器應用于事件，將它們發布到配置的輸出，并在讀取其他事件日志記錄之前等待輸出的確認，

event_logs.name:定義要監視的事件日志的名稱，Event _ logs 下的每個字典都必須有一個 name 欄位，您可以通過在 PowerShell 中運行

Get-EventLog *

來獲得可用的事件日志串列，下面是命令輸出的一個例子：

如果在 windows vista 或更新版本上運行，還可以指定通道名稱，通道是一個已命名的事件流，它將事件從事件源傳輸到事件日志，大多數渠道都與特定的事件發布者相關聯，下面是一個示例，說明如何使用 PowerShell 列出所有通道

 Get-WinEvent -ListLog * | Format-List -Property LogName

必須在組態檔中指定通道的全名，

winlogbeat.event_logs:
  - name: Microsoft-Windows-Windows Firewall With Advanced Security/Firewall

一定要注意添加時要一一對應，

另外，要從歸檔的.evtx檔案中讀取事件，可以將名稱指定為檔案的絕對路徑：

winlogbeat.event_logs:
  - name: 'C:\backup\sysmon-2019.08.evtx'

event_logs.ignore_older:如果指定了此選項，則Winlogbeat將篩選早于指定時間的事件，當開始監視包含要忽略的舊記錄的事件日志時，此選項非常有用，

winlogbeat.event_logs:
 - name: Application
   ignore_older: 168h

忽略此前168小時的舊記錄，

event_logs.forwarded:一個布爾標志，指示日志僅包含使用 Windows 事件收集器從遠程主機收集的事件， ForwardedEvents 日志的默認值為 true，其他任何日志的默認值為 false，此選項僅適用于支持 Windows 事件日志 API (microsoftwindowsvista 和更新版本)的作業系統，當值為 true 時，Winlogbeat 不會嘗試使用主機上的訊息檔案呈現事件.

event_logs.event_id:event id 的白名單和黑名單，該值是一個以逗號分隔的串列，接受的值是要包括的單個event id (例如4624)、要包括的事件 id 范圍(例如4700-4800)和要排除的單個event id (例如-4735)，

winlogbeat.event_logs:
 - name: Security
   event_id: 4624, 4625, 4700-4800, -4735

指定id數目上限為22個，如果您有超過22個事件 id，您可以使用 drop _ event Winlogbeat 從 Windows 接收事件之后進行過濾，從而解決 Windows 的這個限制，下面顯示的過濾器等效于事件 id: 903,1024,4624，但是可以擴展到22個事件 id 以外，

winlogbeat.event_logs:
 - name: Security
   processors:
     - drop_event.when.not.or:
       - equals.winlog.event_id: 903
       - equals.winlog.event_id: 1024
       - equals.winlog.event_id: 4624

event_logs.level:要包括的事件級別串列，該值是一個以逗號分隔的級別串列

winlogbeat.event_logs:
  - name: Security
    level: critical, error, warning

event_logs.provider:要包含的提供程式(源名稱)串列，該值是一個 YAML 串列，可以使用 PowerShell 獲得與日志關聯的提供程式串列，下面的示例顯示與 Security 日志關聯的提供程式，

(Get-WinEvent -ListLog Security).ProviderNames

event_logs.include_xml:布爾選項，用于控制事件的原始 XML 表示是否包含在由 Winlogbeat 發送的資料中，默認值為 false，事件的 XML 表示對于故障排除非常有用，可以將 Winlogbeat 報告的欄位中的資料與 XML 中的資料進行比較，以診斷問題，

event_logs.tags:Beat 在每個發布事件的 tags 欄位中包含的標記串列，標簽可以很容易地在 Kibana 選擇特定的事件或者在 Logstash 應用條件過濾，這些標記將被添加到常規配置中指定的標記串列中，

winlogbeat.event_logs:
  - name: CustomLog
    tags: ["web"]

event_logs.fields: 表示可選欄位，可以指定這些欄位向輸出添加附加資訊，例如，您可以添加可用于篩選事件資料的欄位，欄位可以是標量值、陣列、字典或這些的任何嵌套組合，默認情況下，您在這里指定的欄位將分組在輸出檔案中的欄位子詞典下，

winlogbeat.event_logs:
 - name: CustomLog
   fields:
     customer_id: 51415432

表示這個事件的用戶id為51415432

event_logs.fields_under_root:如果此選項設定為 true，則自定義欄位將作為頂級欄位存盤在輸出檔案中，而不是分組到欄位子字典中，如果自定義欄位名與 Winlogbeat 添加的其他欄位名發生沖突，則自定義欄位將覆寫其他欄位，
event_logs.processors:應用于事件日志生成的資料的處理器串列

event_logs.index:如果存在，此格式化字串將覆寫此事件日志中事件的索引(用于 elasticsearch 輸出) ，或者設定事件元資料的 raw _ index 欄位(用于其他輸出)，該字串只能參考代理名稱、版本和事件時間戳; 要訪問動態欄位，請使用 output.elasticsearch.index 或processors.

"%{[agent.name]}-myindex-%{+yyyy.MM.dd}" 

可擴展為

"winlogbeat-myindex-2019.12.13"

event_logs.keep_null:如果此選項設定為 true，則將在輸出檔案中發布具有空值的欄位，默認情況下，將 keep _ null 設定為 false，

event_logs.no_more_event

event_logs.api

ILM

索引生命周期管理(ILM)功能，在 Winlogbeat 索引變老時對其進行管理，當現有索引達到指定的大小或年齡時，使用index生命周期策略自動切換到新索引，而不是創建每日索引(其中索引大小可以根據Beat的數量和發送的事件數量而變化

peocessor

每個處理器接收一個事件，將一個已定義的操作應用于該事件，并回傳該事件，如果定義一個處理器串列，它們將按照在 Winlogbeat 組態檔中定義的順序執行，
例如，下面的篩選器配置洗掉了幾個很少使用的欄位(provider _ guid、 process _ id、 thread _ id 和 version)和一個嵌套欄位 event _ data

processors:
  - drop_fields:
      fields: [winlog.provider_guid, winlog.process.pid, winlog.process.thread.id, winlog.version, winlog.event_data.ErrorSourceTable] 

定義一系列的過濾條件

internal queue

定義事件佇列：在發布事件之前，Winlogbeat 使用內部佇列來存盤事件，佇列負責緩沖并將事件組合成可由輸出消耗的批處理，輸出將使用批量操作在一個事務中發送一批事件，
這個示例配置將記憶體佇列設定為緩沖最多4096個事件:

queue.mem:
  events: 4096

匯出/安裝模板

安裝：

Invoke-RestMethod -Method Put -ContentType "application/json" -InFile winlogbeat.template.json -Uri http://localhost:9200/_template/winlogbeat-7.10.2

匯出：

PS > .\winlogbeat.exe export template --es.version 7.10.2 | Out-File -Encoding UTF8 winlogbeat.template.json

使用節點決議資料

當您使用 Elasticsearch 輸出時，您可以配置 Winlogbeat 使用攝取節點在 Elasticsearch 進行實際索引之前對檔案進行預處理，當您希望對資料執行一些額外的處理，但不需要 Logstash 的全部能力時，攝取節點是一個方便的處理選項，例如，您可以在 Elasticsearch 創建攝取節點管道，該管道由一個處理器組成，該處理器移除檔案中的欄位，然后由另一個處理器重命名欄位，

在 Elasticsearch 定義管道之后，只需配置 Winlogbeat 使用管道，要配置 Winlogbeat，您可以在 Winlogbeat.yml 檔案中 elasticsearch 下的 parameters 選項中指定管道 ID:

output.elasticsearch:
  hosts: ["localhost:9200"]
  pipeline: my_pipeline_id

例如，假設您在一個名為 pipeline.json 的檔案中定義了以下管道:

{
    "description": "Test pipeline",
    "processors": [
        {
            "lowercase": {
                "field": "agent.name"
            }
        }
    ]
}

要在 Elasticsearch 增加管道，你需要運行:

curl -H 'Content-Type: application/json' -XPUT 'http://localhost:9200/_ingest/pipeline/test-pipeline' -d@pipeline.json

然后在 winlogbeat.yml 檔案中指定:

output.elasticsearch:
  hosts: ["localhost:9200"]
  pipeline: "test-pipeline"

YAML語法——待學習

模塊

ForwardedEvents

可以包含來自多個生產者的事件，因此您可能希望使用多個模塊，這可以通過應用由條件 when 陳述句保護的多個腳本處理器來實作，

powershell

PowerShell 模塊處理來自 Microsoft-Windows-PowerShell/Operational 和 Windows PowerShell 日志的事件日志記錄，

對以下事件 id 進行了轉換:
400 - Engine state is changed from None to Available.
400-引擎狀態從無更改為可用
403 - Engine state is changed from Available to Stopped. 403-引擎狀態從“可用”改為“停止”
600 - A Provider is Started.
600 - 提供者啟動
800 - Pipeline executed.
800-管道已執行
4103 - Module logging.
4103-模塊日志記錄
4104 - Script block logging.
4104 - 腳本塊日志記錄
4105 - Command started.
4105-命令開始
4106 - Command completed.
4106 - 命令完成

默認情況下，模塊和腳本塊日志記錄(事件 ID 的410x)是禁用的，你可以通過“ Windows PowerShell”GPO 設定和設定“打開模塊日志記錄”和“打開 PowerShell 腳本塊日志記錄”來啟用它們，

security

該模塊對以下事件 id 進行了轉換:
1100 - The event logging service has shut down.
1100 - 事件記錄服務已經關閉
1102 - The audit log was cleared.
1102 - 審計日志已清除
1104 - The security log is now full.
1104 - 安全日志已滿
1105 - Event log automatic backup.
1105 - 事件日志自動備份
1108 - The event logging service encountered an error while processing an incoming event published from %1
1108 - 事件日志記錄服務在處理從% 1發布的傳入事件時遇到錯誤
4624 - An account was successfully logged on.
4624 - 一個帳戶成功登錄
4625 - An account failed to log on.
4625 - 帳戶登錄失敗
4634 - An account was logged off.
4634 - 一個賬戶被注銷了
4647 - User initiated logoff (interactive logon types).
4647 - 用戶發起注銷(互動式登錄型別)
4648 - A logon was attempted using explicit credentials.
4648 - 嘗試使用顯式憑據登錄
4672 - Special privileges assigned to new logon.
4672 - 分配給新登錄的特權
4673 - A privileged service was called.
4673 - 呼叫了一個特權服務
4674 - An operation was attempted on a privileged object. 在特權物件上嘗試了一個操作
4688 - A new process has been created.一個新的程序已經創建
4689 - A process has exited. 行程已退出
4697 - A service was installed in the system. 系統中安裝了一項服務
4698 - A scheduled task was created.創建了一個預定的任務
4699 - A scheduled task was deleted. 洗掉了一個預定的任務
4700 - A scheduled task was enabled 啟用了預定的任務
4701 - A scheduled task was disabled. 計劃中的任務被禁用
4702 - A scheduled task was updated. 更新了預定的任務
4719 - System audit policy was changed. 系統審計政策有所改變
4720 - A user account was created. 創建了一個用戶帳戶
4722 - A user account was enabled. 啟用了一個用戶帳戶
4723 - An attempt was made to change an account’s password.有人試圖更改帳戶密碼
4724 - An attempt was made to reset an account’s password. 有人試圖重置帳戶密碼
4725 - An user account was disabled.用戶帳戶被禁用
4726 - An user account was deleted. 一個用戶帳戶被洗掉
4727 - A security-enabled global group was created. 創建了一個啟用安全性的全域組
4728 - A member was added to a security-enabled global group.一個成員被添加到一個安全啟用的全球組
4729 - A member was removed from a security-enabled global group. 一個成員被從啟用安全功能的全球組中洗掉
4730 - A security-enabled global group was deleted.一個啟用安全性的全域組被洗掉
4731 - A security-enabled local group was created.創建了一個啟用安全性的本地組
4732 - A member was added to a security-enabled local group.一個成員被添加到啟用安全性的本地組
4733 - A member was removed from a security-enabled local group. 從啟用安全的本地組中洗掉了一個成員
4734 - A security-enabled local group was deleted. 安全啟用的本地組被洗掉
4735 - A security-enabled local group was changed. 啟用安全的本地組被更改
4737 - A security-enabled global group was changed.一個安全啟用的全域組被更改
4738 - An user account was changed. 用戶帳戶被更改
4740 - An user account was locked out. 一個用戶帳戶被鎖定
4741 - A computer account was created. 創建了一個計算機帳戶
4742 - A computer account was changed. 計算機帳戶被更改
4743 - A computer account was deleted.一個電腦帳戶被洗掉
4744 - A security-disabled local group was created.創建了一個安全禁用的本地組
4745 - A security-disabled local group was changed. 安全禁用的本地組被更改
4746 - A member was added to a security-disabled local group.一個成員被添加到一個安全無效的本地組
4747 - A member was removed from a security-disabled local group. 一名成員被從一個安全無效的當地組織中清除出去
4748 - A security-disabled local group was deleted. 一個安全無效的本地組被洗掉
4749 - A security-disabled global group was created. 4749-創建了一個安全無效的全域組
4750 - A security-disabled global group was changed. 4750-一個安全禁用的全域組被更改
4751 - A member was added to a security-disabled global group. 4751年的今天，一個成員被添加到一個安全無效的全域組中
4752 - A member was removed from a security-disabled global group. 4752年的今天，一個成員被從一個安全無效的全球組中洗掉
4753 - A security-disabled global group was deleted. 4753-一個安全無效的全域組被洗掉
4754 - A security-enabled universal group was created. 4754-創建了一個安全啟用的通用組
4755 - A security-enabled universal group was changed. 4755-一個安全啟用的通用組被更改
4756 - A member was added to a security-enabled universal group. 4756-一個成員被添加到一個安全啟用的通用組
4757 - A member was removed from a security-enabled universal group. 4757-一個成員被從一個安全啟用的宇宙組中洗掉
4758 - A security-enabled universal group was deleted. 4758-安全啟用的通用組被洗掉
4759 - A security-disabled universal group was created. 4759-創建了一個安全禁用的通用組
4760 - A security-disabled universal group was changed. 4760-一個安全禁用的通用組被更改
4761 - A member was added to a security-disabled universal group. 4761年的今天，一個成員加入了一個安全無效的宇宙組
4762 - A member was removed from a security-disabled universal group. 4762年的今天，一個成員被從一個安全無效的宇宙組中除名
4763 - A security-disabled global group was deleted. 4763-一個安全無效的全域組被洗掉
4764 - A group’s type was changed. 4764-a 組的型別發生了變化
4767 - An account was unlocked. 4767-一個賬戶被解鎖了
4741 - A computer account was created. 4741-創建了一個計算機帳戶
4742 - A computer account was changed. 4742-計算機帳戶被更改
4743 - A computer account was deleted. 4743-一個電腦帳戶被洗掉
4744 - A security-disabled local group was created. 4744-創建了一個安全禁用的本地組
4745 - A security-disabled local group was changed. 4745-a 安全禁用的本地組被更改
4746 - A member was added to a security-disabled local group. 4746-一個成員被添加到一個安全無效的本地組
4747 - A member was removed from a security-disabled local group. 4747年的今天，一名成員被從一個安全無效的當地組織中清除出去
4748 - A security-disabled local group was deleted. 4748-一個安全無效的本地組被洗掉
4749 - A security-disabled global group was created. 4749-創建了一個安全無效的全域組
4750 - A security-disabled global group was changed. 4750-一個安全禁用的全域組被更改
4751 - A member was added to a security-disabled global group. 4751年的今天，一個成員被添加到一個安全無效的全域組中
4752 - A member was removed from a security-disabled global group. 4752年的今天，一個成員被從一個安全無效的全球組中洗掉
4753 - A security-disabled global group was deleted. 4753-一個安全無效的全域組被洗掉
4754 - A security-enabled universal group was created. 4754-創建了一個安全啟用的通用組
4755 - A security-enabled universal group was changed. 4755-一個安全啟用的通用組被更改
4756 - A member was added to a security-enabled universal group. 4756-一個成員被添加到一個安全啟用的通用組
4757 - A member was removed from a security-enabled universal group. 4757-一個成員被從一個安全啟用的宇宙組中洗掉
4758 - A security-enabled universal group was deleted. 4758-安全啟用的通用組被洗掉
4759 - A security-disabled universal group was created. 4759-創建了一個安全禁用的通用組
4760 - A security-disabled universal group was changed. 4760-一個安全禁用的通用組被更改
4761 - A member was added to a security-disabled universal group. 4761年的今天，一個成員加入了一個安全無效的宇宙組
4762 - A member was removed from a security-disabled universal group. 4762年的今天，一個成員被從一個安全無效的宇宙組中除名
4763 - A security-disabled global group was deleted. 4763-一個安全無效的全域組被洗掉
4764 - A group’s type was changed. 4764-a 組的型別發生了變化
4768 - A Kerberos authentication ticket TGT was requested. 4768-請求一個 Kerberos 身份驗證票 TGT
4769 - A Kerberos service ticket was requested. 4769-請求提供 Kerberos 服務票
4770 - A Kerberos service ticket was renewed. 4770-更新了 Kerberos 服務票
4771 - Kerberos pre-authentication failed. 4771-Kerberos 預身份驗證失敗
4776 - The computer attempted to validate the credentials for an account. 4776-計算機試圖驗證帳戶的憑據
4778 - A session was reconnected to a Window Station. 4778-a 會話被重新連接到視窗站
4779 - A session was disconnected from a Window Station. 4779-會話被從視窗站斷開
4781 - The name of an account was changed. 4781-帳戶名稱更改
4798 - A user’s local group membership was enumerated. 4798- 計算了用戶的本地組成員資格
4799 - A security-enabled local group membership was enumerated. 4799-列舉了支持安全的本地組成員身份
4964 - Special groups have been assigned to a new logon. 4964-特別小組已被分配到一個新的登錄

sysmon

Sysmon 模塊從 Sysinternals System Monitor (Sysmon)處理事件日志記錄
Sysmon 是一個 Windows 服務和設備驅動程式，它將系統活動記錄到事件日志中，
Sysmon 不與 Windows 或 Winlogbeat 系結，并且必須獨立安裝，
默認組態檔包括 Sysmon 的配置，如果沒有安裝 Sysmon，Winlogbeat 將記錄一個警告，說它無法從 microsoft-windows-Sysmon/Operational 通道讀取，它將繼續從其他配置的通道讀取資料，如果您稍后安裝了 Sysmon，那么需要重新啟動 Winlogbeat 以使其開始讀取頻道，

sysmon需要配合事件查看器使用，

.evts檔案匯入

Winlogbeat可以攝取歸檔的.evtx檔案，將name引數設定為事件日志檔案的絕對路徑時，它將從該檔案中讀取，首先為Winlogbeat創建一個新的組態檔winlogbeat-evtx.yml：

winlogbeat.event_logs:
  - name: ${EVTX_FILE} 
    no_more_events: stop 

winlogbeat.shutdown_timeout: 30s 
winlogbeat.registry_file: evtx-registry.yml 

output.elasticsearch.hosts: ['http://localhost:9200']

名稱將設定為EVTX_FILE絕對路徑，

當Windows報告不再有要讀取的事件時，no_more_events設定Winlogbeat的行為， 我們希望Winlogbeat停止而不是等待，因為這是一個已歸檔的檔案，將不再接收任何事件，

shutdown_timeout控制Winlogbeat在停止后由于事件到達日志末尾而等待完成將事件發布到Elasticsearch的最長時間，

單獨的注冊表檔案用于避免覆寫默認注冊表檔案， 提取.evtx資料后，您可以洗掉此檔案.

現在執行Winlogbeat并等待它完成，它將在它完成時退出，

.\winlogbeat.exe -e -c .\winlogbeat-evtx.yml -E EVTX_FILE=c:\backup\Security-2019.01.evtx

OVER