У меня проблемы с моим стеком ELK. Я установил стек ELK с Winlogbeat (для чтения файлов EVTX), Elasticsearch и Kibana. В Winlogbeat можно определить шаблон или использовать общий шаблон ECS. Файл fields.yml уже реализован. Когда я обрабатываю свои данные, все идет хорошо. Данные также отображаются в эластичном поиске / кибане. Проблема в том, что тип типичных полей, таких как winlog.record_id или winlog.channel, отображается в kibana как текст, а не как ключевое слово.
Я пробовал много разных комбинаций для обработки данных в Winlogbeat, но я не уверен, действительно ли проблема с Winlogbeat.
Моя текущая конфигурация Winlogbeat выглядит следующим образом:
winlogbeat.event_logs:
- name: 'c:\path\to\evtx\file.evtx'
setup.template.enabled: true
setup.template.fields: "c:/path/to/fields.yml"
setup.template:
name: "test_"
pattern: "test_*"
overwrite: true
settings:
index.number_of_shards: 1
setup.ilm.enabled: false
output.elasticsearch:
enabled: true
hosts: ["localhost:9200"]
index: "test_evtx"
processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
- add_docker_metadata: ~
Я использую для Elasticsearch, Kibana и Winlogbeat версию 7.5.2.
Исходя из моих текущих знаний, Конфигурация правильная. Меня беспокоит то, что в меню «Управление> Управление индексами> Шаблоны индексов» я вижу текущий шаблон, используемый моим тестовым индексом. Параметры сопоставления там правильные и аналогичные настройкам в fields.yml, но они также такие, если я не ссылаюсь на fields.yml в файле конфигурации Winlogbeat. С другой стороны, если шаблон установлен, Kibana должна использовать его при публикации данных с созданным индексным шаблоном, верно? Но здесь тип полей в 90% случаев - тип текста, а не тип, рекомендуемый в шаблоне индекса.
Так что я либо неправильно понимаю всю концепцию индекса (шаблоны / шаблоны), либо иначе идет не так. У кого-нибудь есть предложения?