Настройка logstash (elk)⁠⁠

Приветствую коллеги. Подскажите, может кто сталкивался с настройка winlogbeat и logstash

Имеется win log server, который собирает логи с DC в .evtx (wef) на нем стоит winlogbeat со стандартной конфигурацией:

-name: ForwardedEvents

Logstash имеет конфиг (урезал его немного):

input {

beats {

port => 5044

tags => [ "winlogbeat" ]

}

}

# Active Directory - Security Group Management

filter {

if "winlogbeat" in [tags] and [log_name] == "Security" and [event_id] == 4727 {

mutate {

add_field => { "short_message" => "A security-enabled global group was created" }

}

}

output {

elasticsearch {

hosts => ["http://elasticsearchserver:9200"]

index => "logstash-winlogbeat-%{+xxxx.ww}"

}

}

В принципе стандартный. Собираю только нужные мне эвенты (ибо место необходимо беречь) Только фильтр не отработает правильно, либо отображаются все эвенты, либо не отображается в кибане вообще.