.jpg)
Elastic Blog - Elasticsearch, Kibana, and ELK Stack
·
使用Elastic收集Windows遥测数据:ETW Filebeat输入简介
💡
原文英文,约300词,阅读约需2分钟。
📝
内容提要
Filebeat的ETW输入通过订阅Windows主机的ETW会话,实时收集事件数据并发送至Elasticsearch。支持创建新会话、附加到现有会话和读取预录的.etl文件,满足实时监控和历史数据分析需求。
🎯
关键要点
- Filebeat的ETW输入通过订阅Windows主机的ETW会话来收集事件数据。
- ETW会话是来自ETW提供者的事件的逻辑分组,提供者包括Windows内核和应用程序。
- Filebeat的ETW输入实时收集数据并将其发送至Elasticsearch进行分析和可视化。
- Filebeat支持三种灵活的操作模式:创建新会话、附加到现有会话和读取预录的.etl文件。
- 创建新会话模式适用于需要实时数据的场景,用户可以捕获特定的遥测数据。
- 附加到现有会话模式允许Filebeat收集正在进行的事件数据,适合已有ETW会话的环境。
- 读取预录的.etl文件模式使用户能够分析历史事件数据,适用于回顾性分析。
- Filebeat的ETW输入灵活性使其适应多种用例,包括实时监控、取证分析和操作故障排除。
🏷️
标签
➡️
