Winlogbeat 命令参考
editWinlogbeat 命令参考edit
Winlogbeat 提供命令行界面用于启动 Winlogbeat 并执行常见任务,例如测试配置文件和加载仪表盘。
命令行还支持 全局标志 用于控制全局行为。
此处描述的一些功能需要 Elastic 许可证。有关更多信息,请参见 https://elastic.ac.cn/subscriptions 和 许可证管理。
| 命令 | |
|---|---|
将配置、索引模板、管道或 ILM 策略导出到标准输出。 |
|
显示任何命令的帮助信息。 |
|
管理 密钥库。 |
|
运行 Winlogbeat。如果您在未指定命令的情况下启动 Winlogbeat,则默认使用此命令。 |
|
设置初始环境,包括索引模板、ILM 策略和写入别名以及 Kibana 仪表盘(如果可用)。 |
|
测试配置。 |
|
显示有关当前版本的详细信息。 |
另请参见 全局标志。
export 命令edit
将配置、索引模板、管道或 ILM 策略导出到标准输出。您可以使用此命令快速查看配置,查看索引模板和 ILM 策略的内容,从 Kibana 导出仪表盘或导出摄取管道。
概要
winlogbeat export SUBCOMMAND [FLAGS]
子命令
-
config - 将当前配置导出到标准输出。如果您使用
-c标志,则此命令将导出在指定文件中定义的配置。 -
dashboard -
导出仪表盘。您可以使用此选项将仪表盘存储在模块中的磁盘上,并自动加载它。例如,要将仪表盘导出到 JSON 文件,请运行
winlogbeat export dashboard --id="DASHBOARD_ID" > dashboard.json
要查找
DASHBOARD_ID,请查看 Kibana 中仪表盘的 URL。默认情况下,export dashboard将仪表盘写入标准输出。该示例显示如何将仪表盘写入 JSON 文件以便您以后导入它。JSON 文件将包含具有所有可视化和搜索的仪表盘。您必须分别为 Winlogbeat 加载索引模式。要加载仪表盘,请将生成的
dashboard.json文件复制到 Winlogbeat 的kibana/6/dashboard目录中,然后运行winlogbeat setup --dashboards导入仪表盘。如果 Kibana 未在
localhost:5061上运行,则您还必须调整 Winlogbeat 配置,位于setup.kibana下。 -
template - 将索引模板导出到标准输出。您可以指定
--es.version标志以进一步定义要导出的内容。此外,您可以通过--dir定义目录将模板导出到文件而不是stdout。
标志
-
--es.version 版本 - 与
template一起使用时,导出与指定版本兼容的索引模板。与ilm-policy一起使用时,如果指定的 ES 版本已启用 ILM,则导出 ILM 策略。与pipeline一起使用时,导出与指定版本兼容的管道版本。 -
-h, --help - 显示
export命令的帮助信息。 -
--dir 目录名 - 定义一个目录,将模板、管道和 ILM 策略导出到该目录作为文件,而不是将它们打印到
stdout。 -
--id 仪表盘 ID - 与
dashboard一起使用时,指定仪表盘 ID。
另请参见 全局标志。
示例
winlogbeat export config winlogbeat export template --es.version 8.14.3 winlogbeat export dashboard --id="a7b35890-8baa-11e8-9676-ef67484126fb" > dashboard.json
help 命令edit
显示任何命令的帮助信息。如果没有指定命令,则显示 run 命令的帮助信息。
概要
winlogbeat help COMMAND_NAME [FLAGS]
-
命令名 - 指定要显示其帮助信息的命令的名称。
标志
-
-h, --help - 显示
help命令的帮助信息。
另请参见 全局标志。
示例
winlogbeat help export
keystore 命令edit
管理 密钥库。
概要
winlogbeat keystore SUBCOMMAND [FLAGS]
子命令
-
add 密钥 - 将指定的密钥添加到密钥库。使用
--force标志覆盖现有密钥。使用--stdin标志通过stdin传递值。 -
create - 创建一个密钥库来保存机密信息。使用
--force标志覆盖现有密钥库。 -
list - 列出密钥库中的密钥。
-
remove 密钥 - 从密钥库中删除指定的密钥。
标志
-
--force - 适用于
add和create子命令。与add一起使用时,覆盖指定的密钥。与create一起使用时,覆盖密钥库。 -
--stdin - 与
add一起使用时,使用 stdin 作为密钥值的源。 -
-h, --help - 显示
keystore命令的帮助信息。
另请参见 全局标志。
示例
winlogbeat keystore create winlogbeat keystore add ES_PWD winlogbeat keystore remove ES_PWD winlogbeat keystore list
有关更多示例,请参见 密钥库。
run 命令edit
运行 Winlogbeat。如果您在未指定命令的情况下启动 Winlogbeat,则默认使用此命令。
概要
winlogbeat run [FLAGS]
或
winlogbeat [FLAGS]
标志
-
-N, --N - 出于测试目的,禁用发布。此选项会禁用除 文件输出 之外的所有输出。
-
--cpuprofile 文件 - 将 CPU 配置文件数据写入指定文件。此选项对于排查 Winlogbeat 问题很有用。
-
-h, --help - 显示
run命令的帮助信息。 -
--httpprof [主机]:端口 - 启动一个用于分析的 http 服务器。此选项对于排查 Winlogbeat 问题和分析 Winlogbeat 很有用。
-
--memprofile 文件 - 将内存配置文件数据写入指定输出文件。此选项对于排查 Winlogbeat 问题很有用。
-
--system.hostfs 挂载点 - 指定主机文件系统的挂载点,用于监视主机。此标志已弃用,应通过
hostfs模块配置值指定备用 hostfs。
另请参见 全局标志。
示例
winlogbeat run -e
或
winlogbeat -e
setup 命令edit
设置初始环境,包括索引模板、ILM 策略和写入别名以及 Kibana 仪表盘(如果可用)
- 索引模板确保在 Elasticsearch 中正确映射字段。如果启用了索引生命周期管理,它还确保定义的 ILM 策略和写入别名与匹配索引模板的索引相连。ILM 策略负责索引的生命周期,何时执行滚动、何时将索引从活动阶段移至下一阶段等。
- Kibana 仪表盘使您能够更轻松地将 Winlogbeat 数据可视化到 Kibana 中。
此命令会在不实际运行 Winlogbeat 和摄取数据的情况下设置环境。指定可选标志来设置一部分资产。
概要
winlogbeat setup [FLAGS]
标志
-
--dashboards - 设置 Kibana 仪表盘(如果可用)。此选项会从 Winlogbeat 包加载仪表盘。有关更多选项(例如加载自定义仪表盘),请参见 *Beats 开发人员指南* 中的 导入现有 Beat 仪表盘。
-
-h, --help - 显示
setup命令的帮助信息。 -
--index-management - 设置与 Elasticsearch 索引管理相关的组件,包括模板、ILM 策略和写入别名(如果受支持且已配置)。
另请参见 全局标志。
示例
winlogbeat setup --dashboards winlogbeat setup --index-management
test 命令edit
测试配置。
概要
winlogbeat test SUBCOMMAND [FLAGS]
子命令
-
config - 测试配置设置。
-
output - 测试 Winlogbeat 是否可以使用当前设置连接到输出。
标志
-
-h, --help - 显示
test命令的帮助信息。
另请参见 全局标志。
示例
winlogbeat test config
version 命令edit
显示有关当前版本的详细信息。
概要
winlogbeat version [FLAGS]
标志
-
-h, --help - 显示
version命令的帮助信息。
另请参见 全局标志。
示例
winlogbeat version
全局标志edit
这些全局标志在您运行 Winlogbeat 时始终可用。
-
-E, --E "设置名称=值" -
覆盖特定配置设置。您可以指定多个覆盖。例如
winlogbeat -E "name=mybeat" -E "output.elasticsearch.hosts=['http://myhost:9200']"
此设置将应用于当前运行的 Winlogbeat 进程。Winlogbeat 配置文件不会更改。
-
-c, --c 文件 - 指定用于 Winlogbeat 的配置文件。您在此处指定的文件相对于
path.config。如果没有指定-c标志,则使用默认配置文件winlogbeat.yml。 -
-d, --d 选择器 - 为指定的选定器启用调试。对于选定器,您可以指定以逗号分隔的组件列表,也可以使用
-d "*"为所有组件启用调试。例如,-d "publisher"会显示所有与发布者相关的消息。 -
-e, --e - 记录到 stderr 并禁用 syslog/文件输出。
-
-environment - 出于记录目的,指定 Winlogbeat 所在的环境。此设置用于在未配置日志输出时选择默认日志输出。支持的值包括:
systemd、container、macos_service和windows_service。如果指定了systemd或container,则 Winlogbeat 默认情况下会记录到 stdout 和 stderr。 -
--path.config - 设置配置文件的路径。有关详细信息,请参见 目录布局 部分。
-
--path.data - 设置数据文件的路径。有关详细信息,请参见 目录布局 部分。
-
--path.home - 设置各种文件的路径。有关详细信息,请参见 目录布局 部分。
-
--path.logs - 设置日志文件的路径。有关详细信息,请参见 目录布局 部分。
-
--strict.perms - 在配置文件上设置严格的权限检查。默认值为
-strict.perms=true。有关更多信息,请参见 配置文件所有权和权限。 -
-v, --v - 记录 INFO 级别的消息。