使用winlogbeat采集windows日志

Winlogbeat 是 Elastic 公司开发的一款轻量级日志采集器，专门用于收集 Windows 事件日志，并将其发送到 Elasticsearch、Logstash 等目标存储或处理系统。以下是使用 Winlogbeat 采集 Windows 日志并进行分析的详细步骤

🌈下载和安装 Winlogbeat

• 下载：访问 Elastic 官方下载页面，根据你的 Windows 系统版本选择合适的 Winlogbeat 版本进行下载。
• 安装：解压下载的压缩包到指定目录，例如 C:\Program Files\Winlogbeat。

⚙️配置 Winlogbeat

打开 Winlogbeat 安装目录下的 winlogbeat.yml 文件，根据需求进行配置。

主要对output.elasticsearch项进行配置，配置了将采集到的日志发送到 Elasticsearch 的地址、用户名和密码和证书路径。

# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["192.168.110.177:9200"]

  # Protocol - either `http` (default) or `https`.
  protocol: "https"

  # Authentication credentials - either API key or username/password.
  #api_key: "id:api_key"
  username: "elastic"
  password: "KG-jpX7vH+HEWbqHTLGy"
  #ssl.verification_mode: none
  # Pipeline to route events to security, sysmon, or powershell pipelines.
  pipeline: "winlogbeat-%{[agent.version]}-routing"
  ssl.verification_mode: certificate
  ssl.certificate_authorities: ["C:\\winlogbeat\\http_ca.crt"]

🤔遇到的问题

🗯️出现did not find expected hexdecimal number的报错

Exiting: error loading config file: yaml: line 127: did not find expected hexdecimal number

解决办法：

在windows下证书路径需要使用双斜杠做转义处理

🗯️elastic日志中出现Error dialing x509的报错

Error dialing x509: certificate is valid for 127.0.0.1

解决办法：

配置中加入ssl.verification_mode: certificate

🚀启动 Winlogbeat

以管理员身份打开命令提示符或 PowerShell，执行以下命令启动 Winlogbeat：

winlogbeat.exe -e -c winlogbeat.yml

• -e 选项表示将日志输出到控制台，方便调试。
• -c 选项指定配置文件的路径。

❄️验证日志采集

打开Kibana，进入management->ingest->ingest_pipelines界面，如果有新建立的winlogbeat管道，说明日志采集成功。

🌻日志分析

打开Kibana，进入Analytics->discover界面，选择数据来源为winlogbeat

通过字段匹配筛选数据

如通过命令agent.hostname : "DESKTOP-GPOIV96" 筛选出GPOIV96这台机器的日志