Довольный Айтишникъ

winlogbeat собирает логи с виндовых журналов и отправляет на graylog сервер. Из каких журналов брать логи - указывается в конфиге. Всё бесплатное.

Например у меня в конфиге указаны следующие журналы:

winlogbeat.event_logs:

  - name: Application
    ignore_older: 48h

  - name: System

  - name: Security
    processors:
      - rate_limit:
          when.equals.winlog.event_id: 4624
#          when.equals.winlog.event_id: 4776
          limit: "5/m"

  - name: Microsoft-Windows-Sysmon/Operational

  - name: Windows PowerShell
    event_id: 400, 403, 600, 800

  - name: Microsoft-Windows-PowerShell/Operational
    event_id: 4103, 4104, 4105, 4106

  - name: ForwardedEvents
    tags: [forwarded]
    
  - name: DNS Server

Никак, так как для любого сервиса, который будет перенаправлять данные, нужно мониторить момент изменения порта и знать на какой он изменился, а для этого на стороне ngrok.io должен стоять какой либо сервис, который будет отчитываться о изменении порта. Таким образом - за удобство в данном случае только платить.

В gpmc.msc на политику в соответствующей ветки дерева домена правой кнопкой => Связь включена?