加载摄取管道

Winlogbeat 模块使用 Elasticsearch 摄取节点管道实现。事件在 Elasticsearch 中接收其转换。摄取节点管道必须加载到 Elasticsearch 中。这可以通过几种方式完成。

连接到 Elasticsearch编辑

如果启用了 Elasticsearch 输出，Winlogbeat 将自动将摄取管道发送到 Elasticsearch。

确保在 winlogbeat.yml 中指定的用户 有权设置 Winlogbeat。

如果 Winlogbeat 将事件发送到 Logstash 或其他输出，则需要使用 setup 命令或手动加载摄取管道。

setup 命令编辑

在安装了 Winlogbeat 并将 Elasticsearch 配置为输出的机器上，使用指定了 --pipelines 选项的 setup 命令。例如，以下命令加载摄取管道

PS > .\winlogbeat.exe setup --pipelines

确保在 winlogbeat.yml 中指定的用户 有权设置 Winlogbeat。

手动安装管道编辑

在安装了 Winlogbeat 的机器上，将管道导出到磁盘。这可以使用带有 pipelines 选项的 export 命令来完成。例如，以下命令导出摄取管道

PS> .\winlogbeat.exe export pipelines --es.version=7.16.0

管道导出后，可以使用 _ingest/pipeline REST API 调用将它们加载到 Elasticsearch 中。执行 REST API 调用的用户需要分配 ingest_admin 角色。