Winlogbeat是Windows事件日志的轻量级数据发送器。 虽然Elastic群集通常用于实时监视,但是可以对Winlogbeat进行调整,以手动将“冷日志”或旧的非活动Windows事件日志(EVTX)手动发送给Elastic Stack。 该功能使分析人员可以从收集的系统图像中提取EVTX文件,并利用Elastic堆栈的功能进行调查。
这为使用Elastic Stack作为DFIR分析人员的事后调查工具打开了大门,而不仅仅是实时分析。 该帖子介绍了参与此过程的可能方法。
详细阅读请参阅文章:https://elasticstack.blog.csdn ... 70326
更多关于Elastic的阅读,请参阅https://elasticstack.blog.csdn.net/
这为使用Elastic Stack作为DFIR分析人员的事后调查工具打开了大门,而不仅仅是实时分析。 该帖子介绍了参与此过程的可能方法。
详细阅读请参阅文章:https://elasticstack.blog.csdn ... 70326
更多关于Elastic的阅读,请参阅https://elasticstack.blog.csdn.net/
0 个回复