加载摄取管道

Winlogbeat 模块使用 Elasticsearch 摄取节点管道实现。事件在 Elasticsearch 中进行转换。摄取节点管道必须加载到 Elasticsearch 中。这可以通过几种方式实现。

如果启用了 Elasticsearch 输出，Winlogbeat 将自动将摄取管道发送到 Elasticsearch。

请确保在 winlogbeat.yml 中指定的用户 有权设置 Winlogbeat。

如果 Winlogbeat 将事件发送到 Logstash 或其他输出，则需要使用 setup 命令或手动加载摄取管道。

在安装了 Winlogbeat 并配置了 Elasticsearch 作为输出的机器上，运行 setup 命令并指定 --pipelines 选项。例如，以下命令加载摄取管道

PS > .\winlogbeat.exe setup --pipelines

请确保在 winlogbeat.yml 中指定的用户 有权设置 Winlogbeat。

在安装了 Winlogbeat 的机器上，将管道导出到磁盘。可以使用 export 命令并指定 pipelines 选项来完成。例如，以下命令导出摄取管道

PS> .\winlogbeat.exe export pipelines --es.version=7.16.0

管道导出后，可以使用 _ingest/pipeline REST API 调用将其加载到 Elasticsearch 中。发出 REST API 调用的用户需要被分配 ingest_admin 角色。