2. 程式人生 > 其它 >winlogbeat-收集windows事件日誌並啟用預設模板、dashboard相關配置

winlogbeat-收集windows事件日誌並啟用預設模板、dashboard相關配置

阿新 發佈:2021-06-21

winlogbeat用於收集windows的系統事件日誌;

官網安裝方法:https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation.html

收集並寫入elasticsearch配置例項:

winlogbeat.event_logs:
-name:Security
ignore_older:24h
event_id:4624,4625,4626,4627
tags:["Security_205"]
fields:
type:"Security_205"
log_topic:"Security_205"
fields_under_root:true
#修改預設的elasticsearch索引;特別注意index中不能出現大寫字母,否則會無法入es中
output.elasticsearch.index:"security_205-%{+yyyy.MM.dd}"
setup.template.name:"security_205"
setup.template.pattern:"security_205-*"
output.elasticsearch:
hosts:["10.10.5.78:9200","10.10.5.79:9200","10.10.5.80:9200"]
#使用官方的dashboard,當elasticsearch預設修改時,setup.dashboards.index也要進行修改
setup.dashboards.enabled:true
setup.dashboards.index:"security_205-*"
setup.kibana:
host:"10.10.5.109:5601"

logging.to_files:true
logging.files:
path:C:\ProgramFiles\WinlogBeat\log
logging.level:info

引數說明:

- name:設定收集系統事件的日誌型別;

ignore_older:設定多久以前的日誌不進行收集;在初次配置時十分有效;

event_id:設定收集的事件id,預設為收集所有的事件日誌;

logging.to_files:開啟日誌相關的配置;當輸output無法連線時,會暫時寫入logging相關的配置中;

注:寫入elasticsearch時,會啟用預設的索引名字為winlogbeat-*;要修改為自己需要的名字

收集並寫入kafka相關配置:

winlogbeat.event_logs:
-name:Security
ignore_older:24h
event_id:4624,4625,4626,4627
tags:["Security_205"]
fields:
type:"Security_205"
log_topic:"Security_205"
fields_under_root:true

output.kafka:
enabled:true
hosts:["10.78.1.85:9092","10.78.1.87:9092","10.78.1.71:9092"]
topic:"%{[log_topic]}"
partition.round_robin:
reachable_only:true
worker:2
required_acks:1
compression:gzip
max_message_bytes:10000000

setup.dashboards.enabled:true
setup.dashboards.index:"security_205-*"
setup.kibana:
host:"10.10.5.109:5601"

logging.to_files:true
logging.files:
path:C:\ProgramFiles\WinlogBeat\log
logging.level:info

轉載於:https://blog.51cto.com/liuzhengwei521/2362169

相關推薦

winlogbeat-收集windows事件日誌啟用預設模板dashboard相關配置

winlogbeat用於收集windows的系統事件日誌; 官網安裝方法:https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation.html

k8s filebeat sidecar模式收集ingress nginx日誌可視化展示

本文預設k8s環境以及ingress controller以及安裝好 公司所用ingress監控是由prometheus+grafana進行,但是監控不夠全面,故使用filebeat去採集ingress日誌自主進行視覺化展示

ELK收集MySQL慢日誌告警

ELK收集MySQL慢日誌告警 採用的是filebeat採集日誌,Redis做日誌儲存,logstash消費處理日誌,將處理過的日誌儲存到ES,kibana做日誌展示,Elastalert做監控告警長時間的慢日誌

Nuxt預設模板預設佈局和自定義錯誤頁面的實現

預設模板預設佈局 通常用於一些有固定格式的網站 比如一些網站的頭部和底部都是一樣的 此時即可使用預設模板

使用zap接收gin框架預設日誌配置日誌歸檔

轉自 使用zap接收gin框架預設日誌配置日誌歸檔 本文介紹了在基於gin框架開發的專案中如何配置使用zap來接收記錄gin框架預設日誌和如何配置日誌歸檔。

Loki收集Nginx日誌以grafana展示

背景 公司一直用的是ELK來收集Nginx日誌的,對於伺服器較少的用elk則顯得太重了,於是調研了一番,用loki+Promtail+grafana來測試一下。Loki類似elasticsearch,用於儲存。Promtail類似fluent,用於收集,grafana類似

SQL Server(MSSQLSERVER) 請求失敗或服務未及時響應,有關詳細資訊,請參見事件日誌或其他的適用的錯誤日誌

轉自:www.fengjunzi.com/blog-25573.… 問題 有時候sqlserver無法啟動了,原因是mssqlserver服務沒有啟動,當你手動啟動時,又出現服務無法響應的可惡錯誤提示。。。

Docker安裝官方Redis映象啟用密碼認證

參考:docker官方redis文件 1.有特殊版本需求的可以檢視redis映象tag版本 3.2.11,3.2,3 (3.2/Dockerfile)

Windows批量搜尋複製/剪下檔案的批處理程式例項

搜尋包含關鍵字的檔名是最常用的功能之一,比如按人名搜尋mp3按內容搜尋圖紙等等,當需要搜尋成百上千個關鍵詞時,會消耗大量的人力和時間,這時就需要批量搜尋功能。本文介紹一個我自己編寫的用於批量搜尋檔案的

Windows10禁用WD(Windows Defender)和啟用方法

來自yaya141319大佬從神州版Win10得到的方法 使用方法:新建一個XXX.bat檔案,將程式碼複製進去,右鍵管理員方式執行。

win10電腦玩遊戲藍屏檢視事件日誌顯示ID1001如何解決

有win10系統使用者在電腦中玩遊戲的時候,出現了藍屏的現象,重啟後檢視事件日誌顯示檢測錯誤: 0x0000000a (0xfffff8010010c57c, 0x0000000000000002, 0x0000000000000008, 0xfffff8016592c57f)。已將轉儲的資料儲存

內網資訊收集(Windows)--本機資訊收集

手動查詢命令 本機網路配置資訊 ipconfig /all查詢網路配置資訊 可查詢代理資訊,否處於域中

【Nginx】如何格式化日誌推送到遠端伺服器?看完原來很簡單!!

寫在前面 Nginx作為最常用的反向代理和負載均衡伺服器,被廣泛的應用在眾多網際網路專案的前置服務中,很多網際網路專案直接將Nginx伺服器作為整個專案的流量入口。這就使得我們可以通過對Nginx伺服器日誌的分析,就

巧用win32print來控制windows系統印表機推送列印任務

  小爬最近的一個需求是:將windows系統下的列印任務批量有序給到網路印表機。

搭建ELK叢集 實時收集 jpress 專案日誌

ELK介紹 1.什麼是ELK ELK是三個軟體 1.E:elasticsearchjava程式儲存,查詢日誌 2.L: logstashjava程式收集過濾日誌

基於vue.js仿淘寶收貨地址設定預設地址的案例分析

這個案例主要是渲染地址列表,然後設定預設地址,與淘寶的收貨地址功能一樣,具體自行檢視自己的淘寶收貨地址;

docker搭建zabbix收集windows計數器效能資料

1 docker服務的安裝 1)線上安裝docker服務 線上安裝可以參考下面的安裝步驟 a 安裝相關依賴元件

git log根據特定條件查詢日誌統計修改的程式碼行數

前言 隨著年齡的增長和知識的積累,最近常常有種豁然開朗的感覺,或者對一個已經存在的事物突然有了新的認識,比如統計這個詞很早就接觸了,從沒考慮過它是什麼意思,而這篇總結的題目中用了統計一詞,第一感覺應該是

filebeat收集系統登陸日誌

filebeat配置 - type: logenabled: truepaths:- /var/log/secureinclude_lines: [\".*Failed.*\",\".*Accepted.*\"]tags: [\"secure\"]

windows系統切換及啟用

windows 系統切換軟體 https://www.lanzous.com/i5v3cne 啟用Windows 10 專業版:W269N-WFGWX-YVC9B-4J6C9-T83GX