Избавьтесь от объяснения в журнале сообщений Windows
Мне интересно, можно ли избавиться (или просто не хранить в первую очередь) «объяснение» внутри событий с определенным идентификатором, например, событие класса 4624 (win2008) .
Хотя вопрос является общим, я включаю свой конкретный вариант использования в качестве ссылки:
Я отправляю журналы через winlogbeat на узел elasticsearch, который сохраняет в поле «сообщение» также объяснение . Хотя можно настроить winlogbeat игнорировать объяснение (через регулярное выражение), я хотел бы знать, есть ли возможность вообще не отправлять объяснение, например, через конфигурацию в ОС Windows.
Описание, о котором вы говорите, не сохраняется в Windows, а отображается, когда вы читаете события.
Однако:
Если вы пересылаете события Windows с помощью пересылки событий Windows, вы можете сконфигурируйте систему для рендеринга событий перед их передачей.
В вашем случае кажется, что вы установили Winlogbeat на сервере, на котором вы хотите собирать события, и Winlogbeat может рендерить события перед их передачей. Вы можете отключить это поведение , установив для eventlog.forwarded значение true .