Einführung
Wir werden einrichten Standalone-Elastic-Agent mit Windows und benutzerdefinierter Protokollintegration.
Dies ist eine Fortsetzung der Tutorial zum eigenständigen Elastic Agent.
Anforderungen
Eine laufende Instanz von Elasticsearch und Kibana.
Ein Computer mit Windows 10 oder höher.
Schritte
Schritt 1 - Elastic Agent herunterladen [02:17]
Laden Sie das Elastic Agent-Paket auf den Windows-Computer herunter, der den Elastic Agent bereitstellen soll.
Visit https://www.elastic.co/downloads/elastic-agent um das neueste Paket zu finden.
Entpacken <file you downloaded>.
Schritt 2 - Elastic Agent mit Elasticsearch-Ausgabe verwenden [02:40]
Es sollte eine ~/elastic-agent.yml Datei aus Schritt 1.
Bearbeiten Sie diese Felder für die ~/elastic-agent.yml zur Verbindung mit Ihrem Elasticsearch-Server
...etc...
outputs:
default:
type: elasticsearch
hosts: ["https://elastic.evermight.net:9200"]
username: "elastic"
password: "changeme"
...etc...
Wenn Sie selbstsignierte Zertifikate verwenden, müssen Sie möglicherweise die Zertifizierungsstelle auf diesen Computer kopieren und mit dem ssl.certificate_authorities Feld, wie in dieser Dokumentation erwähnt:
Elastic Agent-SSL-Konfiguration– Wir haben diesen Ansatz noch nicht getestet.
Gehen Sie zu Ihrem Windows-Startmenü, suchen nach PowerShell und klicken Sie mit der rechten Maustaste auf Als Administrator ausführen.
Starten Sie Ihren Elastic Agent mit diesem Befehl:
cd <path to the elastic-agent.yml directory>;
.\elastic-agent.exe install
... answer No to fleet server
Bestätigen Sie den Erfolg, indem Sie zu Kibana gehen und im Menü auf „+“ klicken.Stapelverwaltung > Indexverwaltung > Datenströme. Sie werden einige Datenströme bemerken, wie zum Beispiel logs-elastic_agent Und metrics-elastic*.
Schritt 3 - Windows-Integration [05:00]
Senden wir Windows-Daten an Elasticsearch.
Gehen Sie zu Kibana und klicken Sie auf das Speisekarte.
Gehe zu Integrationen.
Suchen nach Windows.
Klicken Sie auf Windows.
Klicken Sie auf Fenster hinzufügen.
Gehe zu Wo kann diese Integration hinzugefügt werden?.
Gehe zu Neuer Name der Agentenrichtlinie und Typ Demo zu Windows-Richtlinien(oder was immer Sie wollen).
Klicken Sie auf Speichern und fortfahren.
Klicken Sie auf Fügen Sie Ihrem Host einen Elastic Agent hinzu.
Schritt 4 - Integration des benutzerdefinierten Windows-Protokolls [06:40]
Senden wir benutzerdefinierte Windows-Daten an Elasticsearch.
Gehen Sie zu Kibana und klicken Sie auf das Speisekarte.
Gehe zu Integrationen.
Suchen nach Benutzerdefinierte Fenster.
Klicken Sie auf Benutzerdefinierte Windows-Ereignisprotokolle.
Klicken Sie auf Benutzerdefinierte Windows-Ereignisprotokolle hinzufügen.
Gehe zu Kanalname und geben Sie den gewünschten Kanal des benutzerdefinierten Windows-Protokolls ein, zum Beispiel Microsoft-Windows-WMI-Activity/Operational wie in diesem Bild gezeigt:
Gehe zu Wo kann diese Integration hinzugefügt werden?.
Klicken Sie auf Vorhandene Hosts.
Gehe zu Agentenrichtlinie und wählen Sie Demo zu Windows-Richtlinien damit diese Integration einbezogen werden kann.
Klicken Sie auf Speichern und fortfahren.
Klicken Sie auf Fügen Sie Ihrem Host einen Elastic Agent hinzu.
Schritt 5
Klicken Sie auf Eigenständig ausführen.
Klicken Sie auf In die Zwischenablage kopieren.
Gehen Sie zurück zu Ihrem Server und erstellen Sie eine neue elastic-agent.yml Datei und fügen Sie den Code aus Ihrer Zwischenablage ein.
Bearbeiten Sie die Anmeldeinformationen im elastic-agent.yml:
...etc...
outputs:
default:
type: elasticsearch
hosts: ["https://elastic.evermight.net:9200"]
username: "elastic"
password: "changeme"
...etc...
Starten Sie Ihren Elastic Agent mit diesem Befehl:
cd C:\Program Files\Elastic\Agent\elastic-agent.exe uninstall;
cd <path to directory of your .\elastic-agent.yml>
.\elastic-agent.exe install
... answer No to fleet server
Für Windows-Daten besuchen Sie Kibana > Integrationen > Windows > Assets und klicken Sie auf eines der Dashboards, um zu bestätigen, dass Daten eingegangen sind.
Für benutzerdefinierte Windows-Ereignisprotokolle rufen Sie Ihre Datensatzname aus der Integration:
Bestätigen Sie den Eingang benutzerdefinierter Windows-Ereignisprotokolle, indem Sie zu Speisekarte, Entdecken.
Suchen nach data_stream.dataset: "winlog.winlog" (ersetzen winlog.winlog mit Ihrem Datensatznamen).
Debuggen
Wenn Probleme auftreten, finden Sie Protokolle für den Elastic Agent hier:
Linux:/opt/Elastic/Agent/data/elastic-agent-<id>/logs.
Windows:C:\Program Files\Elastic\Agent\data\elastic-agent-*\logs\