Здравствуйте. На сервере установлен Elasticsearch 5.6.3, Kibana 5.6.3, Logstash. C виндовых машин логи собираю winlogbeat'ом. Когда тестировал ELK, то на тестовый windows сервер установил winlogbeat агента, настроил конфиг, руками загрузил index template. Все отработало хорошо, журнал винды весь вычитался, логи собирались без проблем. Затем index template был удален и заново загружен после установки агентов еще на десяток серверов. Проблема такая: с новых серверов журналы винды вычитались полностью, но с того первого тестового сервака только с даты удаления index template. Как загрузить в эластик старые логи с этого сервера?
Информация о записях, которые уже были посланы храниться в файле C:\ProgramData\winlogbeat\ .winlogbeat.yml. Это информация хранится в форме «смещений». Поэтому, если вы остановите Winlogbeat, затем измените или удалите этот файл, winlogbeat повторно отправит данные. Удалении приведет к повторной отправке всех данных с начала времени или при использовании ignore_older: 72h, данные за последние 72 часа.
Другой вариант - изменить файл конфигурации. Изменяя record_number, вы можете установить «смещение», с которого Winlogbeat будет возобновлять обработку с каждого журнала.
Спасибо. очень помогли.
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.