Использование Winlogbeats для пересылки сообщений с хоста Windows на кластер Kafka.Установленный winlog побеждает агента на хосте и пытается перенаправить журналы безопасности брокеру Kafka.Но я вижу, что поле сообщений отсутствует в событиях.Конфигурация Winlogbeat:
#======================= Winlogbeat specific options ==========================
winlogbeat.event_logs:
- name: Security
ignore_older: 72h
forwarded: true
fields:
log_topic: TEST
extra_id: testId
fields_under_root: true
#------------------------------- Kafka output ----------------------------------
output.kafka:
# Boolean flag to enable or disable the output module.
enabled: true
# The list of Kafka broker addresses from where to fetch the cluster metadata.
# The cluster metadata contain the actual Kafka brokers events are published
# to.
output.kafka.hosts: ["localhost:9092","localhost:9093"]
output.kafka.topic: '%{[log_topic]}'
Мне удалось запустить Winlogbeat и увидеть трафик, идущий на Kafka, но проблема в том, что поле сообщения отсутствует в отредактированной ниже выходной записи.
"record_number": "20092012",
"event_data": {
"TargetLogonId": "00000000",
"LogonType": "3",
"TargetUserName": "USER1",
"TargetDomainName": "DOMAIN",
"TargetUserSid": "1-1-1-1-1"
Я ожидаю увидеть что-то подобное ниже, отправленное Winlogbeat
*message: An account was logged off.
Subject:
Security ID: S-000000000000000000000
Account Name: 000000
Account Domain: DOmain
Logon ID: 0x1234
Logon Type: 7
This event is generated when a logon session is destroyed. It may be positively correlated with a logon event using the Logon ID value. Logon IDs are only unique between reboots on the same computer.*
Я что-то упустил в конфигурационном файле winlogbeat.yml?