На прошлой неделе я выполнил некоторую работу с шаблоном и некоторые модификации field.yml в winlogbeats.yml для окна windows. Мы хотели изменить тип поля сообщения на ключевое слово, чтобы в поле сообщения можно было создать несколько безболезненных сценариев.
Проблема, с которой я столкнулся, заключается в том, что я изменил yml, в котором события, отправляемые в ES, не имеют ничего в DOCS. Идентификационная информация отсутствует.
Вот откровение в кибане:
Глядя на вывод, он публикует данные:
Я даже включил ведение журнала для отладки, и он отправляет сообщения в кластер. Однако при поиске в индексе или поиске в Кибане все, что я получаю, - это изображение, которое я разместил.
Я заново загрузил winlogbeat 6.4.2 с веб-сайта es и, по сути, просто вставил информацию в эластичный поиск и перезапустился, но после удаления своих настраиваемых полей и шаблона все равно не получал удовольствия. Даже поменял название шаблона. Однако независимо от того, что я делаю, я не вижу никакой информации в индексе из фактических сообщений о событиях.
Идеи
Вот мой winlog beat yaml:
#name: "winlogbeat-development"
#setup.dashboards.enabled: true
#setup.template.overwrite: true
#template.path: "C:/ProgramData/winlogbeat/winlogbeat.template.json"
#setup.template.fields: "C:/Program Files/Winlogbeat/fields.yml"
#setup.dashboards.beat: "winlogbeat-development"
#setup.dashboards.index: "winlogbeat-development-*"
#winlogbeat.registry_file: "C:/ProgramData/winlogbeat/.winlogbeat.yml"
#setup.kibana.host: ""
#setup.kibana.username: ""
#setup.kibana.password: ""
#logging.level: debug
#logging.selectors: ["*"]
setup.template.name: "winlogbeat-development-01"
setup.template.pattern: "winlogbeat-development-*"
setup.template.overwrite: true
winlogbeat.event_logs:
- name: Application
ignore_older: 72h
- name: Security
ignore_older: 72h
- name: System
ignore_older: 72h
setup.template.settings:
index.number_of_shards: 3
#index.codec: best_compression
#_source.enabled: false
output.elasticsearch.hosts: [""]
output.elasticsearch.protocol: "http"
output.elasticsearch.username: ""
output.elasticsearch.password: ""
output.elasticsearch.index: "winlogbeat-development-%{[beat.version]}-%{+yyyy.MM.dd}"
Очевидно, что в моем конфиге также есть имя пользователя и пароль.
Единственное другое изменение, которое я сделал, - добавление свойстваasticsearch
script.painless.regex.enabled: true
если заметить, в Кибане я обновлял поля несколько раз, и в отображениях полей просто нет данных для этих полей
Вот необработанный запрос к индексу:
