Windows上先安装docker
下载镜像
docker pull elasticsearch:7.9.3 docker pull kibana:7.9.3
Elasticsearch和Kibana应尽量保持一致,具体是什么版本应该不重要。
运行镜像
先创建一个自定义网络,用于连接到连接同一网络的其他服务,比如ES和Kibana
docker network create esnetwork
分别运行镜像
docker run -d --name elasticsearch793 --net esnetwork -p 9200:9200 -p 9300:9300 -e "discovery.type=single-node" elasticsearch:7.9.3 docker run -d --name kibana793 --net esnetwork -p 5601:5601 kibana:7.9.3
查看运行情况
按道理访问Kibana的地址http://127.0.0.1:5601/ 即可,但是却失败了
显示:Kibana server is not ready yet
解决方法
进入Kibana控制台
docker exec -it kibana793 /bin/bash
修改Elasticsearch服务器地址
vi config/kibana.yml
elasticsearch.hosts: [ "http://你的IP地址:9200" ]
重试,结果变为
在StackOverflow上找到一个解答
curl -X GET "https://localhost:9200/_cluster/health?wait_for_status=yellow&timeout=50s&pretty" --key certificates/elasticsearch-ca.pem -k -u elasticuser安装winlogbeat
官网下载地址
选择版本下载并解压,文件夹重命名为winlogbeat
管理员模式下用powershell命令进入到winlogbeat目录执行
PowerShell.exe -ExecutionPolicy UnRestricted -File .install-service-winlogbeat.ps1.
编辑winlogbeat.yml文件
output.elasticsearch: hosts: ["你的ip地址:9200"] #============================== Kibana ===================================== host: "你的ip地址:5601" logging.to_files: true logging.files: path: C:ProgramDatawinlogbeatLogs logging.level: info
运行测试命令
.winlogbeat.exe test config -c .winlogbeat.yml -e
开启winlogbeat
.winlogbeat.exe setup -e
开启服务
访问Kibana的地址http://127.0.0.1:5601/
可以使用官方样例数据进行可视化
可视化使用winlogbeat搜集的Windows日志:
日志流量监控
24小时流量监控
日志事件24小时监控
日志事件分布
计算机事件监控
近期ip地址访问监控
