Я установил стек ELK на экземпляре AWS, работающем под управлением Ubuntu 16.04, и все шло гладко, пока я не отправил свои журналы windows из моего производственного экземпляра (Windows ОС) в logsta sh для анализа на Kibana и при настройке шаблона индекса (winlogbeat- *) поле времени отсутствует. Поле для его установки выделено серым цветом и гласит «Индексы, которые соответствуют этому шаблону индекса, не содержат никаких полей времени». Однако журналы windows, конечно, содержат поле времени, так что я уверен, что это что-то На этом пути я неправильно настроил.
Как вы уже догадались, я новичок в этом, и хотя я провел много исследований, я далек от эксперта ELK. Я не уверен, какие файлы / конфигурации вам могут понадобиться для решения этой проблемы, или если вам просто нужно знать, как я его настраивал, поэтому, пожалуйста, спросите, если / когда вы обнаружите, что мой вопрос не содержит информации. Спасибо всем заранее.
#winlogbeat.yml
winlogbeat.event_logs:
- name: Application
ignore_older: 72h
- name: System
- name: Security
processors:
- script:
lang: javascript
id: security
file: ${path.home}/module/security/config/winlogbeat-security.js
- name: Microsoft-Windows-Sysmon/Operational
processors:
- script:
lang: javascript
id: sysmon
file: ${path.home}/module/sysmon/config/winlogbeat-sysmon.js
#==================== Elasticsearch template settings ==========================
setup.template.settings:
index.number_of_shards: 1
#============================== Kibana =====================================
setup.kibana:
#----------------------------- Logstash output --------------------------------
output.logstash:
hosts: ["HOST_IP_ADDRESS:5044"]
#================================ Processors =====================================
processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
- add_docker_metadata: ~
``