擺脫windows消息日誌中的解釋

我想知道是否有可能擺脫（或根本不儲存）具有特定 id 的事件中的“解釋”，例如類4624 (win2008)的事件。

儘管這個問題很籠統，但我將我的特定案例作為參考：

我通過 winlogbeat 將日誌發送到一個 elasticsearch 節點，該節點在“消息”欄位中也儲存了解釋。雖然可以配置 winlogbeat 忽略解釋（通過正則表達式），但我想知道是否有可能首先不發送解釋，例如，通過 Windows 作業系統中的配置。

您正在談論的描述不是由 Windows 儲存的，而是在您閱讀事件時呈現的。

然而：

如果您使用 Windows 事件轉發轉發 Windows 事件，您可以將系統配置為在傳輸事件之前呈現事件。

在您的情況下，您似乎在要收集事件的伺服器上安裝了 Winlogbeat，並且 Winlogbeat 可以在傳輸事件之前呈現事件。您應該能夠通過設置eventlog.forwarded來true禁用此行為。

引用自：https://serverfault.com/questions/983783