Introduction
Nous allons installer Agent élastique autonome avec Windows et intégration de journaux personnalisés.
Il s'agit d'une continuation de la Tutoriel sur l'agent élastique autonome.
Exigences
Une instance en cours d'exécution d'Elasticsearch et de Kibana.
Une machine Windows 10 ou supérieure.
Mesures
Étape 1 - Télécharger Elastic Agent [02:17]
Téléchargez le package Elastic Agent sur la machine Windows qui servira Elastic Agent.
Visit https://www.elastic.co/downloads/elastic-agent pour trouver le dernier package.
Décompresser <file you downloaded>.
Étape 2 – Utiliser Elastic Agent avec la sortie Elasticsearch [02:40]
Il devrait y avoir un ~/elastic-agent.yml fichier de l'étape 1.
Modifiez ces champs pour le ~/elastic-agent.yml pour la connexion à votre serveur Elasticsearch
...etc...
outputs:
default:
type: elasticsearch
hosts: ["https://elastic.evermight.net:9200"]
username: "elastic"
password: "changeme"
...etc...
Si vous utilisez des certificats auto-signés, vous devrez peut-être copier l'autorité de certification sur cette machine et la référencer avec le ssl.certificate_authorities champ tel que mentionné dans cette documentation :
Configuration SSL de l'agent élastique- Nous n’avons pas encore testé cette approche.
Allez à votre Menu Démarrer de Windows, Rechercher PowerShell et faites un clic droit pour Exécuter en tant qu'administrateur.
Démarrez votre agent élastique avec cette commande :
cd <path to the elastic-agent.yml directory>;
.\elastic-agent.exe install
... answer No to fleet server
Confirmez le succès en allant sur Kibana et accédez au menu pour cliquer Gestion de la pile > Gestion des index > Flux de données. Vous remarquerez certains flux de données tels que logs-elastic_agent et metrics-elastic*.
Étape 3 - Intégration Windows [05:00]
Expédions les données Windows à Elasticsearch.
Allez sur Kibana et cliquez sur le Menu.
Aller à Intégrations.
Rechercher Windows.
Cliquez sur Windows.
Cliquez sur Ajouter des fenêtres.
Aller à Où ajouter cette intégration.
Aller à Nom de la nouvelle politique de l'agent et tapez Démonstration de la politique Windows(ou tout ce que vous voulez).
Cliquez Enregistrer et continuer.
Cliquez Ajoutez un agent élastique à votre hôte.
Étape 4 – Intégration du journal personnalisé Windows [06:40]
Expédions des données Windows personnalisées à Elasticsearch.
Allez sur Kibana et cliquez sur le Menu.
Aller à Intégrations.
Rechercher Fenêtres personnalisées.
Cliquez sur Journaux d'événements Windows personnalisés.
Cliquez sur Ajouter des journaux d'événements Windows personnalisés.
Aller à Nom de la chaîne et tapez le canal du journal Windows personnalisé que vous souhaitez, par exemple Microsoft-Windows-WMI-Activity/Operational comme le montre cette image :
Aller à Où ajouter cette intégration.
Cliquez Hôtes existants.
Aller à Politique de l'agent champ et choisir Démonstration de la politique Windows afin que cette intégration puisse être incluse.
Cliquez Enregistrer et continuer.
Cliquez Ajoutez un agent élastique à votre hôte.
Étape 5
Cliquez Exécuter de manière autonome.
Cliquez sur Copier dans le presse-papiers.
Retournez sur votre serveur et créez-en un nouveau elastic-agent.yml fichier et collez le code depuis votre presse-papiers.
Modifiez les informations d'identification dans le elastic-agent.yml:
...etc...
outputs:
default:
type: elasticsearch
hosts: ["https://elastic.evermight.net:9200"]
username: "elastic"
password: "changeme"
...etc...
Démarrez votre agent élastique avec cette commande :
cd C:\Program Files\Elastic\Agent\elastic-agent.exe uninstall;
cd <path to directory of your .\elastic-agent.yml>
.\elastic-agent.exe install
... answer No to fleet server
Pour les données Windows, visitez Kibana > Intégrations > Windows > Ressources et cliquez sur l'un des tableaux de bord pour confirmer que les données sont arrivées.
Pour les journaux d'événements Windows personnalisés, rappelez votre Nom du jeu de données de l'intégration :
Confirmez l'arrivée des journaux d'événements Windows personnalisés en accédant à Menu, Découvrir.
Rechercher data_stream.dataset: "winlog.winlog" (remplacer winlog.winlog avec le nom de votre jeu de données).
Débogage
Si vous rencontrez des problèmes, vous pouvez trouver les journaux de l'agent élastique dans :
Linux:/opt/Elastic/Agent/data/elastic-agent-<id>/logs.
Fenêtres :C:\Program Files\Elastic\Agent\data\elastic-agent-*\logs\