Winlogbeat之配置 4
要配置Winlogbeat,请编辑winlogbeat.yml配置文件。有关配置文件结构的更多信息,请参阅Beats平台参考的配置文件格式部分。
这是一个winlogbeat.yml文件:
winlogbeat.event_logs: - name: Application - name: Security - name: System output.elasticsearch: hosts: - localhost:9200 logging.to_files: true logging.files: path: C:\ProgramData\winlogbeat\Logs logging.level: info
要配置Winlogbeat:
1. 在事件日志部分,指定要监视的事件日志。默认情况下,Winlogbeat设置为监视应用程序、安全性和系统日志:
winlogbeat.event_logs:
- name: Application
- name: Security
- name: System
要获取可用事件日志的列表,请在PowerShell中运行 Get-EventLog * 。有关此命令的详细信息,请参阅事件的配置详细信息_日志.名称.
2. 配置输出。Winlogbeat支持多种输出,但通常您可以将事件直接发送到Elasticsearch,或发送到Logstash以进行其他处理。
要将输出直接发送到Elasticsearch(不使用Logstash),请设置Elasticsearch安装的位置:
- 如果您在弹性云上运行我们托管的Elasticsearch服务,请指定您的云ID。例如:
cloud.id: "staging:dXMtZWFzdC0xLmF3cy5mb3VuZC5pbyRjZWM2ZjI2MWE3NGJmMjRjZTMzYmI4ODExYjg0Mjk0ZiRjNmMyY2E2ZDA0MjI0OWFmMGNjN2Q3YTllOTYyNTc0Mw=="
- 如果您在自己的硬件上运行Elasticsearch,请设置Winlogbeat可以找到Elasticsearch安装的主机和端口。例如: output.elasticsearch:
hosts: ["myEShost:9200"]
要将输出发送到Logstash,请改为配置Logstash输出。有关所有其他输出,请参见输出。
3. 如果计划使用Winlogbeat提供的示例Kibana仪表板,请配置Kibana端点。如果Kibana与Elasticsearch在同一主机上运行,则可以跳过此步骤。
setup.kibana:
host: "mykibanahost:5601" (1)
(1) 运行Kibana的机器的主机名和端口,例如Kibana:5601。如果在端口号后指定路径,请包括方案和端口:http://mykibanahost:5601/路径。
4. 如果Elasticsearch和Kibana是安全的,请在winlogbeat.yml在运行设置和启动Winlogbeat的命令之前配置文件。
- 如果您正在弹性云上运行我们托管的Elasticsearch服务,请指定您的云身份验证凭据。例如:
cloud.auth: "elastic:YOUR_PASSWORD"
- 如果在自己的硬件上运行Elasticsearch,请指定Elasticsearch和Kibana凭据:
output.elasticsearch:
hosts: ["myEShost:9200"]
username: "filebeat_internal"
password: "YOUR_PASSWORD" (1)
setup.kibana:
host: "mykibanahost:5601"
username: "my_kibana_user" (2) (3)
password: "YOUR_PASSWORD"
(1)这个示例显示了一个硬编码的密码,但是您应该将敏感值存储在secrets keystore中
(2)Kibana的用户名和密码设置是可选的。如果不为Kibana指定凭据,Winlogbeat将使用为Elasticsearch输出指定的用户名和密码。
(3)要使用预构建的Kibana仪表板,此用户必须具有Kibana_用户内置角色或同等权限。
有关详细信息,请参阅安全。
5. 保存配置文件后,使用以下命令对其进行测试。
PS C:\Program Files\Winlogbeat> .\winlogbeat.exe test config -c .\winlogbeat.yml -e
