1、windows主机上winlogbeat配置# Winlogbeat inputs winlogbeat.event_logs: # 1. 应用程序日志 - name: Application ignore_older: 72h # 2. 系统日志 - name: System ignore_older: 72h # 3. 安全日志 - name: Security ignore_older: 72h # 【重要建议】安全日志量极大建议只采集关键事件ID否则容易撑爆存储 # event_id: 4624, 4625, 4634, 4647, 4672, 4688, 4689, 4720, 4726 # Processors processors: - add_host_metadata: ~ - add_cloud_metadata: ~ # Outputs # 禁用 Elasticsearch 输出 # output.elasticsearch: # hosts: [localhost:9200] # 启用 Logstash 输出 output.logstash: hosts: [10.10.xxx.xx:5044] # 使用你之前提供的 Logstash 地址 compression_level: 3 loadbalance: true bulk_max_size: 2048 # Logging logging.level: info logging.to_files: true logging.files: path: C:\ProgramData\winlogbeat\logs name: winlogbeat.log keepfiles: 72、logstash配置文件放入新建的pipeline目录里 [rootelk-lo-node03 pipeline]# cat windows-winlogbeat-log.conf input { beats { port 5045 #目录下多个conf文件的话端口要修改不要冲突 tags [windows-input] } } output { elasticsearch { hosts [https://10.10.xxx.xx:9200] index logs-app-windows-%{yyyy.MM.dd} user elastic password JcJv*xxxxxxxxxxxx ssl_certificate_verification false } stdout { codec rubydebug } }3、pipeline目录下新增conf文件后要同步修改pipelines.yml[rootelk-lo-node03 config]# pwd /opt/logstash/config [rootelk-lo-node03 config]# ll total 48 -rw-r--r-- 1 root root 2924 Apr 1 17:49 jvm.options -rw-r--r-- 1 root root 8680 Apr 1 17:49 log4j2.properties -rw-r--r-- 1 root root 502 Jun 4 14:37 logstash.conf -rw-r--r-- 1 root root 342 Apr 1 17:49 logstash-sample.conf -rw-r--r-- 1 root root 15745 Apr 1 17:49 logstash.yml drwxr-xr-x 2 root root 98 Jun 16 15:12 pipeline -rw-r--r-- 1 root root 794 Jun 16 15:14 pipelines.yml -rw-r--r-- 1 root root 1696 Apr 1 17:49 startup.options [rootelk-lo-node03 config]# ll pipeline total 12 -rw-r--r-- 1 root root 750 Jun 4 16:01 beats-elk-log.conf -rw-r--r-- 1 root root 359 Jun 16 15:03 network-device-log.conf -rw-r--r-- 1 root root 360 Jun 16 09:53 windows-winlogbeat-log.conf [rootelk-lo-node03 config]# cat pipelines.yml - pipeline.id: beats-elk-log #接收filebeat日志 path.config: config/pipeline/beats-elk-log.conf pipeline.workers: 2 pipeline.batch.size: 125 pipeline.batch.delay: 50 queue.type: persisted queue.max_bytes: 1gb queue.checkpoint.acks: 1024 queue.drain: false - pipeline.id: windows-winlogbeat-log #接收winlogbeat日志 path.config: config/pipeline/windows-winlogbeat-log.conf pipeline.workers: 2 pipeline.batch.size: 125 pipeline.batch.delay: 50 queue.type: persisted queue.max_bytes: 1gb queue.checkpoint.acks: 1024 queue.drain: false - pipeline.id: network-device-log #接收防火墙等网络设备日志 path.config: config/pipeline/network-device-log.conf pipeline.workers: 2 pipeline.batch.size: 125 pipeline.batch.delay: 50 queue.type: persisted queue.max_bytes: 1gb queue.checkpoint.acks: 1024 queue.drain: false
ELK通过winlogbeat收集windows系统日志并转发给logstash配置文件
发布时间:2026/6/17 11:12:34
1、windows主机上winlogbeat配置# Winlogbeat inputs winlogbeat.event_logs: # 1. 应用程序日志 - name: Application ignore_older: 72h # 2. 系统日志 - name: System ignore_older: 72h # 3. 安全日志 - name: Security ignore_older: 72h # 【重要建议】安全日志量极大建议只采集关键事件ID否则容易撑爆存储 # event_id: 4624, 4625, 4634, 4647, 4672, 4688, 4689, 4720, 4726 # Processors processors: - add_host_metadata: ~ - add_cloud_metadata: ~ # Outputs # 禁用 Elasticsearch 输出 # output.elasticsearch: # hosts: [localhost:9200] # 启用 Logstash 输出 output.logstash: hosts: [10.10.xxx.xx:5044] # 使用你之前提供的 Logstash 地址 compression_level: 3 loadbalance: true bulk_max_size: 2048 # Logging logging.level: info logging.to_files: true logging.files: path: C:\ProgramData\winlogbeat\logs name: winlogbeat.log keepfiles: 72、logstash配置文件放入新建的pipeline目录里 [rootelk-lo-node03 pipeline]# cat windows-winlogbeat-log.conf input { beats { port 5045 #目录下多个conf文件的话端口要修改不要冲突 tags [windows-input] } } output { elasticsearch { hosts [https://10.10.xxx.xx:9200] index logs-app-windows-%{yyyy.MM.dd} user elastic password JcJv*xxxxxxxxxxxx ssl_certificate_verification false } stdout { codec rubydebug } }3、pipeline目录下新增conf文件后要同步修改pipelines.yml[rootelk-lo-node03 config]# pwd /opt/logstash/config [rootelk-lo-node03 config]# ll total 48 -rw-r--r-- 1 root root 2924 Apr 1 17:49 jvm.options -rw-r--r-- 1 root root 8680 Apr 1 17:49 log4j2.properties -rw-r--r-- 1 root root 502 Jun 4 14:37 logstash.conf -rw-r--r-- 1 root root 342 Apr 1 17:49 logstash-sample.conf -rw-r--r-- 1 root root 15745 Apr 1 17:49 logstash.yml drwxr-xr-x 2 root root 98 Jun 16 15:12 pipeline -rw-r--r-- 1 root root 794 Jun 16 15:14 pipelines.yml -rw-r--r-- 1 root root 1696 Apr 1 17:49 startup.options [rootelk-lo-node03 config]# ll pipeline total 12 -rw-r--r-- 1 root root 750 Jun 4 16:01 beats-elk-log.conf -rw-r--r-- 1 root root 359 Jun 16 15:03 network-device-log.conf -rw-r--r-- 1 root root 360 Jun 16 09:53 windows-winlogbeat-log.conf [rootelk-lo-node03 config]# cat pipelines.yml - pipeline.id: beats-elk-log #接收filebeat日志 path.config: config/pipeline/beats-elk-log.conf pipeline.workers: 2 pipeline.batch.size: 125 pipeline.batch.delay: 50 queue.type: persisted queue.max_bytes: 1gb queue.checkpoint.acks: 1024 queue.drain: false - pipeline.id: windows-winlogbeat-log #接收winlogbeat日志 path.config: config/pipeline/windows-winlogbeat-log.conf pipeline.workers: 2 pipeline.batch.size: 125 pipeline.batch.delay: 50 queue.type: persisted queue.max_bytes: 1gb queue.checkpoint.acks: 1024 queue.drain: false - pipeline.id: network-device-log #接收防火墙等网络设备日志 path.config: config/pipeline/network-device-log.conf pipeline.workers: 2 pipeline.batch.size: 125 pipeline.batch.delay: 50 queue.type: persisted queue.max_bytes: 1gb queue.checkpoint.acks: 1024 queue.drain: false
相关文章
如何快速掌握AMD Ryzen硬件调试:专业级性能优化完整指南
如何快速掌握AMD Ryzen硬件调试:专业级性能优化完整指南 【免费下载链接】SMUDebugTool A dedicated tool to help write/read various parameters of Ryzen-based systems, such as manual overclock, SMU, PCI, CPUID, MSR and Power Table. 项目地址: https://…
心脏MRI的k-MTR技术:跨域表示学习与临床应用
1. 心脏MRI技术现状与k-MTR的创新价值在临床心脏磁共振成像(CMR)领域,我们长期面临一个根本性矛盾:为了缩短扫描时间、减轻患者不适,常规检查必须对k空间进行欠采样(通常R4-8倍加速);…
Unity卡牌游戏UI开发实战:从零构建专业级交互系统的深度解析
Unity卡牌游戏UI开发实战:从零构建专业级交互系统的深度解析 【免费下载链接】UiCard Generic UI for card games like Hearthstone, Magic Arena and Slay the Spire... 项目地址: https://gitcode.com/gh_mirrors/ui/UiCard 你是否曾为卡牌游戏的UI交互而头…
抖音视频无水印解析技术架构与实战指南
抖音视频无水印解析技术架构与实战指南 【免费下载链接】kill-douyin-watermark-online 抖音视频无水印解析傻瓜式下载,仔细看源码可以集成到你自己的程序中。 项目地址: https://gitcode.com/gh_mirrors/ki/kill-douyin-watermark-online 问题洞察ÿ…
手把手实战:CANN ops-transformer算子库在昇腾NPU上加速Transformer大模型计算
前言 当前大规模语言模型和视觉Transformer架构的部署需求持续增长,而标准神经网络算子库在应对Flash Attention分块计算、RoPE旋转位置编码融合、GLU门控线性单元激活等新型计算模式时,往往需要依赖多 kernel 串行调用才能完成一次完整的前向传播。这种…
终极指南:如何在Linux系统中轻松处理Microsoft Access数据库文件
终极指南:如何在Linux系统中轻松处理Microsoft Access数据库文件 【免费下载链接】mdbtools MDB Tools - Read Access databases on *nix 项目地址: https://gitcode.com/gh_mirrors/md/mdbtools 你是否曾在Linux环境中遇到Microsoft Access数据库文件&#…
Claude与GPT工作流适配指南:任务粒度、输出约束与领域语感三要素
1. 这不是选择题,而是工作流适配问题:从“用哪个更好”到“怎么搭得顺”2026年了,Claude和GPT到底该选哪个?——这句话本身已经暴露了绝大多数人的认知盲区。我从去年夏天开始系统性地把Claude 3.5 Sonnet、Claude 3.5 Opus、GPT-…
抖音视频无水印解析终极指南:3分钟掌握纯净视频下载技巧
抖音视频无水印解析终极指南:3分钟掌握纯净视频下载技巧 【免费下载链接】kill-douyin-watermark-online 抖音视频无水印解析傻瓜式下载,仔细看源码可以集成到你自己的程序中。 项目地址: https://gitcode.com/gh_mirrors/ki/kill-douyin-watermark-on…
2026年实用指南:专业的约克二联供究竟该怎么选?
在追求高品质生活的今天,舒适、节能且环保的家居环境成为众多家庭的向往。约克二联供系统凭借其独特的优势,逐渐走进大众视野。然而,面对市场上琳琅满目的选择,消费者往往感到困惑。本文将为你详细介绍如何选择专业的约克二联供系…
赛马娘DMM版中文汉化与性能优化全攻略:告别日文界面与卡顿烦恼
赛马娘DMM版中文汉化与性能优化全攻略:告别日文界面与卡顿烦恼 【免费下载链接】umamusume-localify Localify "ウマ娘: Pretty Derby" DMM client 项目地址: https://gitcode.com/gh_mirrors/um/umamusume-localify 还在为赛马娘DMM版的日文界面而…
终极指南:3分钟学会用uesave编辑虚幻引擎游戏存档
终极指南:3分钟学会用uesave编辑虚幻引擎游戏存档 【免费下载链接】uesave Rust library and CLI to read and write Unreal Engine save files 项目地址: https://gitcode.com/gh_mirrors/ue/uesave 你是否曾经因为游戏存档损坏而束手无策?或者想…
GPT-4驱动的Python地理可视化四库实战指南
1. 项目概述:当大模型遇上地理信息,四款Python地图库的实战筛选你有没有试过让GPT-4直接画一张带标注的行政区划图?我试过——它能用ASCII字符拼出个“中国轮廓”,也能在Markdown里用emoji堆个“北京→上海→广州”的箭头链&#…
音乐文件解锁实战指南:3个场景解决你的播放困境
音乐文件解锁实战指南:3个场景解决你的播放困境 【免费下载链接】unlock-music 在浏览器中解锁加密的音乐文件。原仓库: 1. https://github.com/unlock-music/unlock-music ;2. https://git.unlock-music.dev/um/web 项目地址: https://git…
从Landsat到高分系列:手把手教你选择适合自己项目的遥感卫星数据
遥感卫星数据选型实战指南:从参数解析到场景化应用当面对GEE、PIE-Engine等云平台上数十种遥感数据源时,许多研究者常陷入选择困难——Landsat的历史连续性、Sentinel-2的红边波段优势、高分系列的亚米级分辨率各有千秋。本文将打破常规参数罗列式对比&a…
MC68302 AutoBaud技术:硬件级串口波特率自动检测原理与实现
1. 项目概述:MC68302 AutoBaud技术深度解析在嵌入式系统开发,尤其是那些需要与外部设备进行串口通信的场景里,最让人头疼的环节之一就是波特率匹配。想象一下,你设计了一个数据采集终端,需要连接来自不同厂家、不同年代…
Zotero Duplicates Merger:5步彻底清理文献库重复条目
Zotero Duplicates Merger:5步彻底清理文献库重复条目 【免费下载链接】ZoteroDuplicatesMerger A zotero plugin to automatically merge duplicate items 项目地址: https://gitcode.com/gh_mirrors/zo/ZoteroDuplicatesMerger 还在为文献库中堆积如山的重…
利用随机有限集理论对蜂群的ILQR和MPC控制研究附Matlab代码
✅作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真。🍎 往期回顾关注个人主页:Matlab科研工作室🍊个人信条:格物致知,完整Matlab代码及仿真咨询…
为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因
更多请点击: https://intelliparadigm.com 第一章:为什么你的Gemini邮件CTE低于行业均值2.8倍?:从Prompt架构到发送时序的深度归因 Gemini邮件的客户转化效率(CTE)显著偏低,根本原因常被误判为…