使用winlogbeat默认配置 收录windows系统各种日志

• • 1.安装winlogbeat
  • 2.配置
  • 3.启动winlogbeat
  • 4.查看日志

1.安装winlogbeat

• 这里 下载winlogbeat 压缩
• 解压到 C:\Program Files
• 重新命名文件夹为winlogbeat
• 用管理员身份打开windows的 powershell
• 运行以下命令来安装服务

PS C:\Users\Administrator> cd 'C:\Program Files\Winlogbeat'
PS C:\Program Files\Winlogbeat> .\install-service-winlogbeat.ps1

如果在系统上禁用了脚本执行，则需要为当前会话设置执行策略以允许脚本运行。 PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-winlogbeat.ps1.

或者可以使用以下命令来关闭一些安全防护，输入命令后按Y确认

PS C:\Program Files\Winlogbeat> set-executionpolicy remotesigned
PS C:\Program Files\Winlogbeat> set-executionpolicy Bypass

2.配置

本文测试使用winlogbeat收集日志，发送到elasticsearch
修改配置文件 ：winlogbeat.yml
填写要输出到es的地址

output.elasticsearch:
  hosts:
    - localhost:9200

使用以下命令检查配置文件的正确性

 PS C:\Program Files\Winlogbeat> .\winlogbeat.exe test config -c .\winlogbeat.yml -e

3.启动winlogbeat

使用以下命令启动winlogbeat服务，如果你的es是有验证的，请参考这里做配置

PS C:\Program Files\Winlogbeat> Start-Service winlogbeat

4.查看日志

打开kibana，或者es的head插件，可以看到，日志会按照默认的index winlogbeat- + 日期，来收录到es中