winlogbeat收集windows系统日志
1.安装winlogbeat
下载安装包
https://www.elastic.co/cn/downloads/past-releases/winlogbeat-6-8-2
解压到 C:\Program Files
重新命名文件夹为Winlogbeat
用管理员身份打开windows的 powershell
运行以下命令来安装服务
PS C:\Users\Administrator> cd 'C:\Program Files\Winlogbeat'
PS C:\Program Files\Winlogbeat> .\install-service-winlogbeat.ps1
如果在系统上禁用了脚本执行,则需要为当前会话设置执行策略以允许脚本运行。 PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-winlogbeat.ps1
或者可以使用以下命令来关闭一些安全防护,输入命令后按Y确认
PS C:\Program Files\Winlogbeat> set-executionpolicy remotesigned
PS C:\Program Files\Winlogbeat> set-executionpolicy Bypass
2.配置
本文测试使用winlogbeat收集日志,发送到kafka
替换配置文件 :C:\Program Files\Winlogbeat\winlogbeat.yml 并修改host为被采集客户端的内网ip
使用以下命令检查配置文件的正确性
PS C:\Program Files\Winlogbeat> .\winlogbeat.exe test config -c .\winlogbeat.yml -e
3.启动winlogbeat
使用以下命令启动winlogbeat服务,如果你的es是有验证的,请参考这里做配置
PS C:\Program Files\Winlogbeat> Start-Service winlogbeat
