使用 Winlogbeat 模块
编辑使用 Winlogbeat 模块
编辑Winlogbeat 预装了 模块,其中包含从各种 Windows 日志提供程序收集、解析、丰富和可视化数据的所需配置。每个 Winlogbeat 模块包含一个或多个文件集,其中包含摄取节点管道、Elasticsearch 模板、Winlogbeat 输入配置和 Kibana 仪表板。
您可以将 Winlogbeat 模块与 Logstash 一起使用,但需要进行一些额外的设置。最简单的方法是设置和使用 Winlogbeat 提供的摄取管道。
使用摄取管道进行解析
编辑将 Winlogbeat 模块与 Logstash 一起使用时,您可以使用 Winlogbeat 提供的摄取管道来解析数据。您需要将管道加载到 Elasticsearch 并配置 Logstash 以使用它们。
加载摄取管道
在安装 Winlogbeat 的系统上,使用指定的 --pipelines 选项运行 setup 命令以加载特定模块的摄取管道。例如,以下命令加载安全和 sysmon 模块的摄取管道:
winlogbeat setup --pipelines --modules security,sysmon
此设置步骤需要连接到 Elasticsearch,因为 Winlogbeat 需要将摄取管道加载到 Elasticsearch 中。如有必要,您可以在运行命令之前暂时禁用已配置的输出并启用 Elasticsearch 输出。
配置 Logstash 以使用管道
在安装 Logstash 的系统上,创建一个 Logstash 管道配置,该配置从 Logstash 输入(例如 Beats 或 Kafka)读取数据并将事件发送到 Elasticsearch 输出。将 Elasticsearch 输出中的 pipeline 选项设置为 %{[@metadata][pipeline]} 以使用先前加载的摄取管道。
这是一个示例配置,它从 Beats 输入读取数据并使用 Winlogbeat 摄取管道解析模块收集的数据:
input {
beats {
port => 5044
}
}
output {
if [@metadata][pipeline] {
elasticsearch {
hosts => "https://061ab24010a2482e9d64729fdb0fd93a.us-east-1.aws.found.io:9243"
manage_template => false
index => "%{[@metadata][beat]}-%{[@metadata][version]}"
action => "create"
pipeline => "%{[@metadata][pipeline]}"
user => "elastic"
password => "secret"
}
} else {
elasticsearch {
hosts => "https://061ab24010a2482e9d64729fdb0fd93a.us-east-1.aws.found.io:9243"
manage_template => false
index => "%{[@metadata][beat]}-%{[@metadata][version]}"
action => "create"
user => "elastic"
password => "secret"
}
}
}
|
如果您的配置中禁用了数据流,请将 |
|
|
如果要在配置中禁用数据流的使用,您可以删除此设置,或根据需要将其设置为不同的值。 |
|
|
配置 Logstash 以根据事件中传递的元数据选择正确的摄取管道。 |
有关设置和运行模块的更多信息,请参阅 Winlogbeat 的 模块 文档。