Мне интересно, можно ли избавиться (или просто не хранить в первую очередь) «объяснение» внутри событий с определенным идентификатором, например, событие класса 4624 (win2008).
Хотя вопрос общий, я включаю свой конкретный вариант использования в качестве справки:
Я отправляю журналы через winlogbeat на узел elasticsearch, который сохраняет в поле «сообщение» также объяснение. Хотя можно настроить winlogbeat игнорировать объяснение (через регулярное выражение), я хотел бы знать, есть ли возможность в первую очередь не отправлять объяснение, например, через конфигурацию в ОС Windows.
Описание, о котором вы говорите, не сохраняется в Windows, а отображается, когда вы читаете события.
Тем не мение:
Если вы пересылаете события Windows с помощью пересылки событий Windows, вы можете настроить систему на отображать события перед их передачей.
В вашем случае кажется, что вы установили Winlogbeat на сервере, на котором вы хотите собирать события, и Winlogbeat может отображать события перед их передачей. Вы должны иметь возможность отключить это поведение установив eventlog.forwarded к true.