Beats数据采集

Beats是elastic公司的一款轻量级数据采集产品,它包含了几个子产品:

packetbeat(用于监控网络流量)、

filebeat(用于监听日志数据,可以替代logstash-input-file)、

topbeat(用于搜集进程的信息、负载、内存、磁盘等数据)、

winlogbeat(用于搜集windows事件日志)

另外社区还提供了dockerbeat等工具。由于他们都是基于libbeat写出来的,因此配置上基本相同,只是input输入的地方各有差异。

本文按照如下的内容依次进行介绍:

背景知识:关于Powershell的使用

packetbeat的下载、部署、使用、结果样例

filebeat的下载、部署、使用、样例

topbeat的样例

winlogbeat的样例

关于Powershell

如果你是想在linux下使用,那么可以跳过本节。

elastic中的Beats在windows环境中基本都是使用Powershell的脚本,因此用户必须对Powershell有一定的了解。Powershell可以理解成windows对命令行的高级封装,加了个壳,从而支持更多高级的用法。在windows7开始,系统就内置了Powershell工具。因此如果你的系统是xp这种比较老的版本,就需要自己安装Powershell了。

启动Powershell

在windows下,有两种方式打开Powershell(要以管理员的身份打开)。

通过图标打开

在windows下开启搜索,输入powershell,右键以管理员身份运行。

通过命令行启动

在系统路径C:\Windows\System32下,以管理员身份启动cmd.exe(右键选择 以管理员身份运行)。

输入命令Powershell,进入Powershell命令窗口。

C:\Windows\system32>Powershell

Windows PowerShell

版权所有 (C) 2009 Microsoft Corporation。保留所有权利。

PS C:\Windows\system32>

开启脚本限制

默认的情况下,系统会禁止运行脚本,返回下面的错误提示:

PS E:\packetbeat> .\install-service-packetbeat.ps1

无法加载文件 E:\packetbeat\install-service-packetbeat.ps1,因为在此系统中禁止执

行脚本。有关详细信息,请参阅 "get-help about_signing"。

所在位置 行:1 字符: 33