使用winlogbeat搜集windows日志并发送到elasticsearch搜索引擎

Docker版Elasticsearch和Kibana的安装配置

Windows上先安装docker，下载链接

下载镜像

docker pull elasticsearch:7.9.3
docker pull kibana:7.9.3

Elasticsearch和Kibana应尽量保持一致

查看

docker images

运行镜像

先创建一个自定义网络，用于连接到连接同一网络的其他服务，比如ES和Kibana

docker network create esnetwork

分别运行镜像

docker run -d --name elasticsearch793 --net esnetwork -p 9200:9200 -p 9300:9300 -e "discovery.type=single-node" elasticsearch:7.9.3
docker run -d --name kibana793 --net esnetwork -p 5601:5601 kibana:7.9.3

查看运行情况

docker ps -a

正常情况

等待一段时间后，访问Kibana的地址http://127.0.0.1:5601/ 即可，但是却失败了

curl 127.0.0.1:9200
curl 127.0.0.1:5601

解决方法

可尝试使用以下几种方法尝试解决

1.

进入Kibana控制台

docker exec -it kibana793 /bin/bash

修改Elasticsearch服务器地址

vi config/kibana.yml

elasticsearch.hosts: [ "http://localhost:9200" ]

2.

在StackOverflow上找到的解答

curl -X DELETE "http://10.10.10.20:9200/.kibana*"
docker restart kibana793

curl -X GET "https://localhost:9200/_cluster/health?wait_for_status=yellow&timeout=50s&pretty" --key certificates/elasticsearch-ca.pem  -k -u elasticuser

安装winlogbeat

官网下载地址
选择版本下载并解压，文件夹重命名为winlogbeat
管理员模式下用powershell命令进入到winlogbeat目录执行

PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-winlogbeat.ps1.

编辑winlogbeat.yml文件

output.elasticsearch:
  hosts: ["你的ip地址:9200"]
#============================== Kibana =====================================

host: "你的ip地址:5601"

logging.to_files: true
logging.files:
  path: C:\ProgramData\winlogbeat\Logs
logging.level: info

运行测试命令

.\winlogbeat.exe test config -c .\winlogbeat.yml -e

开启winlogbeat

.\winlogbeat.exe setup -e

开启服务

日志可视化

访问Kibana的地址http://127.0.0.1:5601/

可以使用官方样例数据进行可视化



可视化使用winlogbeat搜集的Windows日志：
日志流量监控

24小时流量监控

日志事件24小时监控

日志事件分布

计算机事件监控

近期ip地址访问监控

引用

Windows10安装Docker
Kibana server is not ready yet - Stack Overflow