我已经在Windows中创建了一个标准用户,并试图在C:\ windows \ system32文件夹中创建一个文件,但失败了。 我的Auditbeat配置为侦听上述文件夹。但是在上述故障期间它不会捕获任何事件。
这是我的audibeat配置文件:
###################### Auditbeat Configuration Example #########################
fields_under_root: true
fields:
osCategory: windows
osName: windows-server
osVersion: 2016
device: ["vum"]
beatName: auditbeat
#========================== Modules configuration =============================
auditbeat.modules:
- module: file_integrity
paths:
# - C:/windows
- C:/windows/system32
# - C:/Program Files
# - C:/Program Files (x86)
- C:/test-folder
#==================== Elasticsearch template setting ==========================
setup.template.settings:
index.number_of_shards: 3
#==================== Output ==========================
output.kafka:
enabled: True
hosts:
- 10.3.2.26:9092
topic: 'auditbeat'
partition:
hash:
reachable_only: False
version: 0.10.0
metadata:
retry:
max: 3
backoff: 250ms
worker: 1
bulk_max_size: 2048
timeout: 30s
broker_timeout: 10s
channel_buffer_size: 256.
compression: gzip
max_message_bytes: 1000000
required_acks: 1
client_id: "beats"
有什么办法可以做到这一点? 对于linux环境,我可以通过在配置文件中提供audit-rules来做到这一点。 Windows中是否有类似的替代方法?