加载 Ingest Pipeline

Winlogbeat 模块使用 Elasticsearch Ingest 节点 Pipeline 实现。事件在其内部进行转换。Ingest 节点 Pipeline 必须加载到 Elasticsearch 中。这可以通过多种方式实现。

如果启用了 Elasticsearch 输出，Winlogbeat 会自动将 Ingest Pipeline 发送到 Elasticsearch。

确保在 winlogbeat.yml 中指定的用戶具有设置 Winlogbeat 的授权。

如果 Winlogbeat 将事件发送到 Logstash 或其他输出，则需要使用 setup 命令或手动加载 Ingest Pipeline。

在已安装 Winlogbeat 并将 Elasticsearch 配置为输出的机器上，运行带有 --pipelines 选项的 setup 命令。例如，以下命令加载 Ingest Pipeline：

PS > .\winlogbeat.exe setup --pipelines

确保在 winlogbeat.yml 中指定的用戶具有设置 Winlogbeat 的授权。

在已安装 Winlogbeat 的机器上，将 Pipeline 导出到磁盘。这可以使用带有 pipelines 选项的 export 命令完成。例如，以下命令导出 Ingest Pipeline：

PS> .\winlogbeat.exe export pipelines --es.version=7.16.0

导出 Pipeline 后，可以使用 _ingest/pipeline REST API 调用将其加载到 Elasticsearch 中。执行 REST API 调用的用户需要分配 ingest_admin 角色。