我在一家大公司工作,我们有很多责任。其中一个是通知网络团队。但他们无法理解ELK结构。他们有一个警报监控系统,当我们的系统卡住时它正在工作。它们让我们将日志从logstash发送到windowsevent。我们接受了。所以我需要一个帮助,通过使用logstash输出和grok过滤发送日志(query = level:“Error”和eventid =“1796”)。你能帮我解决这个挑战吗?如何使用logstash和grok将日志发送到Windows事件(不是从windows事件到logstash。请小心)?我的logstash配置是:
input {
file {
type => "json"
path => ["C:/Temp/logs/*.json"]
start_position => "beginning"
codec => "json"
discover_interval => 120
stat_interval => 60
sincedb_write_interval => 60
close_older => 60
}
}
filter {
mutate {
remove_field => [ "path" ]
}
}
output {
stdout {
codec => rubydebug
}
elasticsearch {
hosts => ["http://loguser:[email protected]:333"]
index => "logstash-%{+YYYY.MM}"
}
}
截至本答复日期,Windows事件没有logstash输出插件。您可以在ruby中创建自己的插件来执行此操作。应该有关于在线创建输出插件的足够文档,并且有关于如何从ruby输出到windows事件登录的在线文档(提示:https://rosettacode.org/wiki/Write_to_Windows_event_log#Ruby)
看起来也可以使用pipe output构建一个命令行(https://rosettacode.org/wiki/Write_to_Windows_event_log#Batch_File)来记录您需要的事件。