如何使用logstash ELK将日志发送到Windows事件?

时间:2018-03-05 14:53:18

标签: elasticsearch logstash elastic-stack elasticsearch-plugin logstash-grok

我在一家大公司工作,我们有很多责任。其中一个是通知网络团队。但他们无法理解ELK结构。他们有一个警报监控系统,当我们的系统卡住时它正在工作。它们让我们将日志从logstash发送到windowsevent。我们接受了。所以我需要一个帮助,通过使用logstash输出和grok过滤发送日志(query = level:“Error”和eventid =“1796”)。你能帮我解决这个挑战吗?如何使用logstash和grok将日志发送到Windows事件(不是从windows事件到logstash。请小心)?我的logstash配置是:


input {
  file {
    type => "json"
    path => ["C:/Temp/logs/*.json"]
    start_position => "beginning"
    codec => "json"
    discover_interval => 120
    stat_interval => 60
    sincedb_write_interval => 60
    close_older => 60
  }
}
filter {
mutate {
    remove_field => [ "path" ] 

}
}
output {
    stdout {
        codec => rubydebug
    }



    elasticsearch {
       hosts => ["http://loguser:xxyyzz_2017@192.168.1.92:333"]
       index => "logstash-%{+YYYY.MM}"
    }
}

1 个答案:

答案 0 :(得分:0)

截至本答复日期,Windows事件没有logstash输出插件。您可以在ruby中创建自己的插件来执行此操作。应该有关于在线创建输出插件的足够文档,并且有关于如何从ruby输出到windows事件登录的在线文档(提示:https://rosettacode.org/wiki/Write_to_Windows_event_log#Ruby

看起来似乎也可以使用pipe output构建一个命令行(https://rosettacode.org/wiki/Write_to_Windows_event_log#Batch_File)来记录您需要的事件。

相关问题
最新问题