官方網:https://www.elastic.co/cn/downloads/beats/winlogbeat
外網比較慢,這裏提供百度網盤地址
鏈接: https://pan.baidu.com/s/1PqVH1p3wn2hRB4_Zfspr2g 提取碼: hznc
根據系統情況點擊下載最新版本即可。
2,修改配置
解壓文件後,對winlogbeat.yml配置進行修改。
winlogbeat 主要有三個日誌模塊,System, Application,Security,可以根據even_id進行過濾,輸出自己需要的日誌。
接着對輸出進行配置,默認是用Elasticsearch作爲中轉接收。
我這裏用的是Logstash,打開其配置,並且註釋Elasticsearch配置。
接下來就是測試啓動了,可以查看readme.md文件看講解。
用管理員的身份啓動windows PowerShell,記住不是cmd。
輸入如下:
.\install-service-winlogbeat.ps1
net start winlogbeat
同時你可以在任務管理器中看到該進程的狀態,並且進行停止重啓等操作。
