Question

上周，我对Windows框的winlogbeats.yml进行了一些模板工作和对field.yml的修改。我们希望将消息的字段类型更改为关键字，以便可以在消息字段上执行一些轻松的脚本化字段。

我现在遇到的问题是，我修改了yml，以便将要发送到ES的事件在DOCS中不包含任何内容。没有识别信息。

这是基巴纳人的发现：

查看正在发布数据的输出：

我什至打开了日志记录进行调试，它具有将消息发送到集群的信息。但是，当我搜索索引或查看Kibana时，得到的只是我发布的图像。

我从es网站重新下载了winlogbeat 6.4.2，基本上只是放入了Elasticsearch信息并重新启动，并且在删除了我的自定义字段和模板后仍然不满意。甚至更改了模板名称。但是，无论我做什么，我似乎都无法从实际事件消息中看到索引中的任何信息。

想法？

这是我的Winlog Beat Yaml：

#name: "winlogbeat-development"
#setup.dashboards.enabled: true
#setup.template.overwrite: true
#template.path: "C:/ProgramData/winlogbeat/winlogbeat.template.json"
#setup.template.fields: "C:/Program Files/Winlogbeat/fields.yml"
#setup.dashboards.beat: "winlogbeat-development"
#setup.dashboards.index: "winlogbeat-development-*"

#winlogbeat.registry_file: "C:/ProgramData/winlogbeat/.winlogbeat.yml"
#setup.kibana.host: ""
#setup.kibana.username: ""
#setup.kibana.password: ""
#logging.level: debug
#logging.selectors: ["*"]

setup.template.name: "winlogbeat-development-01"
setup.template.pattern: "winlogbeat-development-*"
setup.template.overwrite: true

winlogbeat.event_logs:
   - name: Application
     ignore_older: 72h
   - name: Security
     ignore_older: 72h 
   - name: System
     ignore_older: 72h


setup.template.settings:
    index.number_of_shards: 3
    #index.codec: best_compression
    #_source.enabled: false

output.elasticsearch.hosts: [""]
output.elasticsearch.protocol: "http"
output.elasticsearch.username: ""
output.elasticsearch.password: ""
output.elasticsearch.index: "winlogbeat-development-%{[beat.version]}-%{+yyyy.MM.dd}"

很明显，在我的配置中，用户名和密码也在那里。

我所做的唯一其他更改是添加了elasticsearch属性

script.painless.regex.enabled: true

如果在基巴纳语中请注意，我已经多次刷新了字段，并且字段映射中没有这些字段的数据

这是针对索引的原始查询：

Winlogbeat发货人不发送事件数据只是索引ID和黑色_Source

0 个答案: