Настройка аудита Windows - ESGuardian/LittleBeat GitHub Wiki
Начиная с версии LittleBeat 6.1, настройка политики аудита (локальной на хосте) происходит автоматически при установке агента LittleBeat из пакета msi. Помните, что если у вас параметры аудита определяются централизовано, групповой политикой с контроллера домена, то локальная политика может быть переопределена. Что именно устанавливается вы можете посмотреть в файле C:\Program Files\LittleBeat Agent\win-audit-set.bat, там в комментариях всё понятно написано.
В своем окружении вы можете посмотреть на практике, какие события для вас информативны, а какие нет, а затем, исключить ненужные события из логирования. Самый простой способ сделать это - поправить настройку агента. В файле winlogbeat.yml есть секция настройки чтения логов. По умолчанию она выглядит вот так:
winlogbeat.event_logs:
- name: Application
ignore_older: 72h
- name: Security
- name: System
Вы можете задать здесь список событий, которые нужно исключить из выборки перечислив номера событий со знаком "-" перед ними (без этого знака список будет читаться как "только указанные события"). Например вот так:
winlogbeat.event_logs:
- name: Application
ignore_older: 72h
- name: Security
event_id: -4735, -4663
- name: System
Помните, что так можно указать не более 22-х событий для каждого журнала (это ограничение самой Windows на размер фильтра в запросе). На практике, вам никогда не понадобится больше, но существует и другой способ задать фильтрацию событий в файле winlogbeat.yml. Кроме того можно добавить в обзор дополнительные журналы событий и отдельные "каналы" событий. Подробнее обо всем этом смотрите в документации на winlogbeat.
После установки агента, файл конфигурации лежит здесь C:\Program Files\LittleBeat Agent.