Winlogbeat

今天這篇主要介紹的是安裝指令與流程，如果已經熟悉的朋友們就跳過吧!!
Winlogbeat主要是用來傳送Event Log給Elasticsearch或Logstash，要不要架Logstash就看個人。

1. 先到官網上下載Winlogbeat，跟Elasticsearch和Kibana不一樣，這部分不用安裝JAVA，把壓縮檔的內容解壓縮到C:\Program Files\Winlogbeat就可以了。

2. 設定收集的Event Log，修改C:\Program Files\Winlogbeat\winlogbeat.yml的winlogbeat.event_logs，先用Get-EventLog *列出Log Name再選，我的目標是WEC收集起來的Log，因此設為以下：

winlogbeat.event_logs:
  - name: ForwardedEvents

3. 設定收集的Elasticsearch和Kibana的主機，修改C:\Program Files\Winlogbeat\winlogbeat.yml的output.elasticsearch和setup.kibana，因為Elasticsearch可以架很多台，因此hosts的設定是list類型，Kibana只會有一台來呈現視覺化(如果要講究HA，透過Cluster，應該還是可以弄兩台)：

output.elasticsearch:
  hosts: ["elasticsearch_server_ip:9200"]

setup.kibana:
  host: "kibana_server_ip:5601"

4. 在DOS cmd執行下面的指令，按照官網的說明在Windows Server 2016的Powershell底下執行是不會輸出結果的：

.\winlogbeat.exe test config -c .\winlogbeat.yml -e

5. 將winlogbeat作為Service設定並把服務叫起來：

PS C:\Program Files\Winlogbeat> .\install-service-winlogbeat.ps1
PS C:\Program Files\Winlogbeat> Start-Service winlogbeat

如果有需要刪除winlogbeat服務的在，執行下面的指令就行了：

PS C:\Program Files\Winlogbeat> Stop-Service winlogbeat
PS C:\Program Files\Winlogbeat> .\uninstall-service-winlogbeat.ps1

接下來要進行細部的設定調整，敬請期待明天的文章。