要配置Winlogbeat,請編輯winlogbeat.yml配置文件。有關配置文件結構的更多信息,請參閱Beats平台參考的配置文件格式部分。
這是一個winlogbeat.yml文件:
winlogbeat.event_logs: - name: Application - name: Security - name: System output.elasticsearch: hosts: - localhost:9200 logging.to_files: true logging.files: path: C:\ProgramData\winlogbeat\Logs logging.level: info
要配置Winlogbeat:
1. 在事件日志部分,指定要監視的事件日志。默認情況下,Winlogbeat設置為監視應用程序、安全性和系統日志:
winlogbeat.event_logs: - name: Application - name: Security - name: System
要獲取可用事件日志的列表,請在PowerShell中運行 Get-EventLog * 。有關此命令的詳細信息,請參閱事件的配置詳細信息_日志.名稱.
2. 配置輸出。Winlogbeat支持多種輸出,但通常您可以將事件直接發送到Elasticsearch,或發送到Logstash以進行其他處理。
要將輸出直接發送到Elasticsearch(不使用Logstash),請設置Elasticsearch安裝的位置:
- 如果您在彈性雲上運行我們托管的Elasticsearch服務,請指定您的雲ID。例如:
cloud.id: "staging:dXMtZWFzdC0xLmF3cy5mb3VuZC5pbyRjZWM2ZjI2MWE3NGJmMjRjZTMzYmI4ODExYjg0Mjk0ZiRjNmMyY2E2ZDA0MjI0OWFmMGNjN2Q3YTllOTYyNTc0Mw=="
- 如果您在自己的硬件上運行Elasticsearch,請設置Winlogbeat可以找到Elasticsearch安裝的主機和端口。例如: output.elasticsearch:
hosts: ["myEShost:9200"]
要將輸出發送到Logstash,請改為配置Logstash輸出。有關所有其他輸出,請參見輸出。
3. 如果計划使用Winlogbeat提供的示例Kibana儀表板,請配置Kibana端點。如果Kibana與Elasticsearch在同一主機上運行,則可以跳過此步驟。
setup.kibana: host: "mykibanahost:5601" (1)
(1) 運行Kibana的機器的主機名和端口,例如Kibana:5601。如果在端口號后指定路徑,請包括方案和端口:http://mykibanahost:5601/路徑。
4. 如果Elasticsearch和Kibana是安全的,請在winlogbeat.yml在運行設置和啟動Winlogbeat的命令之前配置文件。
- 如果您正在彈性雲上運行我們托管的Elasticsearch服務,請指定您的雲身份驗證憑據。例如:
cloud.auth: "elastic:YOUR_PASSWORD"
- 如果在自己的硬件上運行Elasticsearch,請指定Elasticsearch和Kibana憑據:
output.elasticsearch: hosts: ["myEShost:9200"] username: "filebeat_internal" password: "YOUR_PASSWORD" (1) setup.kibana: host: "mykibanahost:5601" username: "my_kibana_user" (2) (3) password: "YOUR_PASSWORD"
(1)這個示例顯示了一個硬編碼的密碼,但是您應該將敏感值存儲在secrets keystore中
(2)Kibana的用戶名和密碼設置是可選的。如果不為Kibana指定憑據,Winlogbeat將使用為Elasticsearch輸出指定的用戶名和密碼。
(3)要使用預構建的Kibana儀表板,此用戶必須具有Kibana_用戶內置角色或同等權限。
有關詳細信息,請參閱安全。
5. 保存配置文件后,使用以下命令對其進行測試。
PS C:\Program Files\Winlogbeat> .\winlogbeat.exe test config -c .\winlogbeat.yml -e