Я создал обычного пользователя в Windows и попытался создать файл в папке C: \ windows \ system32, но это не удалось.Мой Auditbeat настроен на прослушивание вышеуказанной папки.Но он не фиксирует никаких событий во время вышеуказанного сбоя.
Вот мой конфигурационный файл звукового удара:
###################### Auditbeat Configuration Example #########################
fields_under_root: true
fields:
osCategory: windows
osName: windows-server
osVersion: 2016
device: ["vum"]
beatName: auditbeat
#========================== Modules configuration =============================
auditbeat.modules:
- module: file_integrity
paths:
# - C:/windows
- C:/windows/system32
# - C:/Program Files
# - C:/Program Files (x86)
- C:/test-folder
#==================== Elasticsearch template setting ==========================
setup.template.settings:
index.number_of_shards: 3
#==================== Output ==========================
output.kafka:
enabled: True
hosts:
- 10.3.2.26:9092
topic: 'auditbeat'
partition:
hash:
reachable_only: False
version: 0.10.0
metadata:
retry:
max: 3
backoff: 250ms
worker: 1
bulk_max_size: 2048
timeout: 30s
broker_timeout: 10s
channel_buffer_size: 256.
compression: gzip
max_message_bytes: 1000000
required_acks: 1
client_id: "beats"
Есть ли способ, которым я могу это сделать ?.Для среды linux я смог сделать это, указав правила аудита в файле конфигурации.Есть ли подобная альтернатива этому в Windows?