1.概述
Winlogbeat将Windows事件日志发送到Elasticsearch或Logstash。可以将其安装为Windows服务。
Winlogbeat使用Windows API从一个或多个事件日志中读取,根据用户配置的条件过滤事件,然后将事件数据发送到配置的输出(Elasticsearch或Logstash)。Winlogbeat监视事件日志,以便及时发送新的事件数据。每个事件日志的读取位置都保留在磁盘上,以允许Winlogbeat在重新启动后恢复。
Winlogbeat可以从系统上运行的任何事件日志中捕获事件数据。例如,可以捕获以下事件:
application events/应用事件
hardware events/硬件事件
security events/安全事件
system events/系统事件
2.安装
安装包下载地址:https://www.elastic.co/cn/downloads/beats/winlogbeat
解压安装包到C:Program FilesWinlogbeat,右键,选择使用PowerShell运行;如此便注册成系统服务;
3.修改配置
在winlogbeat.yml中加入
setup.kibana: host: "192.168.1.224:5601" output.elasticsearch: hosts: ["192.168.1.223:9200","192.168.1.224:9200","192.168.1.225:9200"]
4.验证配置文件及启动
打开cmd,
#cd C:Program FilesWinlogbeat
#winlogbeat.exe test config -c winlogbeat.yml -e
出现ok,表示正常;
在系统服务里点启动
#启动索引管理 #winlogbeat setup --index-management #导入仪表板 #winlogbeat setup --dashboards #在elasticsearch-head查看索引
#在kibana中查看索引和仪表板
参考链接: