# windlog beat ,windows exporter補充 搭配前面筆記補充 按照ppt設定完yml檔後要注意yml如有空格請用""變換成字串不然power shell執行不了 通常要啟動服務時會因為權限不足而無法啟動 要暫時更改權限啟動後再改回來 ##壓模檔不能用tab 在power shell中 使用`get-executionpolicy`確認權限 記住那個英文 Restricted原本是這個 然後使用 `set-ExecutionPolicy Bypass` 然後啟動服務 `.\install-service-winlogbeat.ps1` 並且把權限改回原本的英文 `set-ExecutionPolicy Restricted` 啟動winlogbeat `Start-Service winlogbeat` 如果有錯誤可以用這個指令找錯(要在想查看的檔案底下) `.\winlogbeat.exe test config` 可以在c槽內顯示隱藏檔 隱藏檔內有log檔可以找錯 "log.level":"error","@timestamp":"2023-05-02T16:41:58.370+0800","log.logger":"publisher_pipeline_output","log.origin":{"file.name":"pipeline/client_worker.go","file.line":150},"message":"Failed to connect to backoff(async(tcp://10.0.30.85:9054)): dial tcp 10.0.30.85:9054: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.","service.name":"winlogbeat","ecs.version":"1.6.0"} 有可能是被防火牆擋住並且無法建立連線 如yml檔無法更改需要先更改權限才能做儲存但是建議是在外面將yml檔編輯好在放進檔案夾內 如果無法關閉windows beat 時直接開工作管理員結束程序 通常這裡的logs是從事件檢視器中抓取 然後可以用服務來開啟windows beat # winlogbeat新方法(用這個)   # windows exporter補充 port 9182 進入普羅米修斯yml檔內增加工作輸入主機的ip用來蒐集資料  需要監控多台windows主機時 在普羅米修斯yml檔內修改,因為壓模檔內只能有一個工作名稱 因此在yml檔內寫入  使用file-sc-config去讀取monitor/ws.yml 檔裡的東西 在這個yml檔內寫上需要監控的ip  這樣就能使全部的主機都能被讀取到 可以在ws.yml內看到cluster 可以分類不同的項目族群 參考資料: https://hackmd.io/TVpFR0jN``R0eKuKtETdY41w