Introducción
Vamos a configurar Agente elástico independiente con Windows e integración de registros personalizados.
Esta es una continuación de la Tutorial de agente elástico independiente.
Requisitos
Una instancia en ejecución de Elasticsearch y Kibana.
Una máquina con Windows 10 o superior.
Pasos
Paso 1: Descargar Elastic Agent [02:17]
Descargue el paquete Elastic Agent en la máquina Windows que servirá al Elastic Agent.
Visit https://www.elastic.co/downloads/elastic-agent para encontrar el último paquete.
Descomprimir <file you downloaded>.
Paso 2: Usar Elastic Agent con la salida de Elasticsearch [02:40]
Debería haber una ~/elastic-agent.yml archivo del paso 1.
Edite estos campos para el ~/elastic-agent.yml para la conexión a su servidor Elasticsearch
...etc...
outputs:
default:
type: elasticsearch
hosts: ["https://elastic.evermight.net:9200"]
username: "elastic"
password: "changeme"
...etc...
Si está utilizando certificados autofirmados, es posible que deba copiar la autoridad del certificado a esta máquina y hacer referencia a ella con el ssl.certificate_authorities campo como se menciona en esta documentación:
Configuración de SSL de Elastic Agent- Aún no hemos probado este enfoque.
Ve a tu Menú Inicio de Windows, buscar PowerShell y haga clic derecho para Ejecutar como administrador.
Inicie su agente elástico con este comando:
cd <path to the elastic-agent.yml directory>;
.\elastic-agent.exe install
... answer No to fleet server
Confirme el éxito yendo a Kibana y vaya al menú para hacer clic Gestión de pilas > Gestión de índices > Flujos de datos. Notarás algunos flujos de datos como logs-elastic_agent y metrics-elastic*.
Paso 3: Integración con Windows [05:00]
Enviemos datos de Windows a Elasticsearch.
Vaya a Kibana y haga clic en el Menú.
Ir a Integraciones.
Buscar por Ventanas.
Haga clic en Ventanas.
Haga clic en Agregar ventanas.
Ir a Dónde agregar esta integración.
Ir a Nombre de la nueva política del agente y tipo Demostración de la política de Windows(o cualquier otra cosa que quieras).
Haga clic Guardar y continuar.
Haga clic Añade un agente elástico a tu host.
Paso 4: Integración del registro personalizado de Windows [06:40]
Enviemos datos personalizados de Windows a Elasticsearch.
Vaya a Kibana y haga clic en el Menú.
Ir a Integraciones.
Buscar por Ventanas personalizadas.
Haga clic en Registros de eventos de Windows personalizados.
Haga clic en Agregar registros de eventos de Windows personalizados.
Ir a Nombre del canal y escriba el canal de registro de Windows personalizado que desee, por ejemplo Microsoft-Windows-WMI-Activity/Operational como se muestra en esta imagen:
Ir a Dónde agregar esta integración.
Haga clic Hosts existentes.
Ir a Política del agente campo y elegir Demostración de la política de Windows Para que esta integración pueda ser incluida.
Haga clic Guardar y continuar.
Haga clic Añade un agente elástico a tu host.
Paso 5
Haga clic Ejecutar de forma independiente.
Haga clic en Copiar al portapapeles.
Regresa a tu servidor y crea uno nuevo.elastic-agent.yml archivo y pegar el código desde su portapapeles.
Editar las credenciales en el elastic-agent.yml:
...etc...
outputs:
default:
type: elasticsearch
hosts: ["https://elastic.evermight.net:9200"]
username: "elastic"
password: "changeme"
...etc...
Inicie su agente elástico con este comando:
cd C:\Program Files\Elastic\Agent\elastic-agent.exe uninstall;
cd <path to directory of your .\elastic-agent.yml>
.\elastic-agent.exe install
... answer No to fleet server
Para datos de Windows, visite Kibana > Integraciones > Windows > Activos y haga clic en uno de los paneles para confirmar que han llegado los datos.
Para los registros de eventos de Windows personalizados, recupere su Nombre del conjunto de datos de la integración:
Confirme que llegan los registros de eventos personalizados de Windows yendo a Menú, Descubrir.
Buscar por data_stream.dataset: "winlog.winlog" (reemplazar winlog.winlog con el nombre de su conjunto de datos).
Depuración
Si tiene problemas, puede encontrar registros del agente elástico en:
Linux:/opt/Elastic/Agent/data/elastic-agent-<id>/logs.
Ventanas:C:\Program Files\Elastic\Agent\data\elastic-agent-*\logs\