由于许多公司环境已经使用了winlogbeat来收集日志到es。但是日志属于安全部门在管,所以无法查看日志。运维人员需要有一份可以自己查看的日志。 这里推荐可以在windows环境下在安装一个fluentd,通过这个收集日志。实现并行收集日志查看。 linux下也是可以filebeat跟fluentd并行使用。 安装fluentd,官网介绍很详细:https://docs.fluentd.org/installation/install-by-msi 也没什么难度,打开部署就行。

搭建好es和kibana后,按照默认的filebeat配置td-agent.conf就能传输日志到es,官网有参数介绍: https://docs.fluentd.org/output/elasticsearch

<source>
  @type windows_eventlog2
  @id windows_eventlog2
  channels security
# read_from_head true
  read_existing_events false
  tag winevt.log
  rate_limit 200
  <storage>
    @type local
    persistent true
    path C:\td-agent\winlog.json
  </storage>
</source>

#<match winevt.adlog>
#  @type stdout
#</match>

###这里可以把一些不需要的key删除掉,根据自己需要定义
<filter winevt.adlog>
  @type record_transformer
  remove_keys ProcessID,ActivityID,RelatedActivityID
</filter>
#这里是关键,就是输出到es的配置内容
<match winevt.log>
  @type elasticsearch
  host 10.1.1.1
  port 9200
  index_name log 
#  with_transporter_log true  #开启传输日志记录,失败原因会记录 
</match>

我安装的es默认启用https了,关闭也不容易,所以研究了一些文章找到配置fluentd修改的内容,如下 里面#注释的部分,建议都删除一下,在配置中发现 有几率会导致fluentd无法启动,不知道原因,把注释都删除就正常了。

<match winevt.adlog>
  @type elasticsearch
  host dsies.shopeeit.com
  port 9200
  index_name adlog 
#  with_transporter_log true  #开启传输日志记录,失败原因会记录
#  @log_level debug
#下面五个参数就是需要添加的,第一个参数将默认的http修改成https,
#第二个参数不验证证书,避免传输失败,是必须填写的参数,不然就要准备es的各种证书,我们没有去拿es的证书,第三个启用tls版本,
#第四第五就是es的账号密码,可以根据你自己创建的账号,
  scheme https
  ssl_verify false  
  ssl_version TLSv1_2
  user es
  password 0b*********
# ca_file /etc/td-agent/certs/es-root-ca.pem 
</match>