winlogbeat采集windows日志

下载链接

https://www.elastic.co/cn/downloads/past-releases/winlogbeat-7-16-2

配置文件

# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["192.168.227.160:9200"]

  # Protocol - either `http` (default) or `https`.
  #protocol: "https"

  # Authentication credentials - either API key or username/password.
  #api_key: "id:api_key"
  #username: "elastic"
  #password: "changeme"

启动服务

初始化、装载模板到kibana

在主机上以管理员身份打开 PowerShell 窗口。 我们想要将必要的 Winlogbeat 模板上载到 Elastic 栈中，以进行正确的解析。
在此窗口中，导航到Winlogbeat 文件夹并运行以下命令：

# 切换到下载目录
d:
cd D:\dba_tools\software\winlogbeat-7.5.1-windows-x86_64
.\winlogbeat.exe setup -e 

这个会测试与es、与kibana的连通性与配置是否成功，仔细查看相关信息有没有 error 等字样

正式启动

.\winlogbeat.exe -e -c winlogbeat.yml

服务后台启动

C:\软件安装包\winlogbeat-7.16.2-windows-x86_64>.\install-service-winlogbeat.ps1

C:\软件安装包\winlogbeat-7.16.2-windows-x86_64>net start winlogbeat
winlogbeat 服务正在启动 .
winlogbeat 服务已经启动成功。