TIPS：本文鸿鹄版本：2.10.0及以上版本

概述

本文基于《IT运维：利用鸿鹄采集Windows event log数据》（以下简称原文）文章进行了细化与延伸。主要包括细化了安装步骤，增加了仪表板。

鸿鹄端配置

创建数据集与数据源类型

登录鸿鹄提前创建数据集和数据类型，我这里创建的是winlog数据集，下文《安装vector》里配置vector.toml会使用到。如下图：

鸿鹄上开启vector_input，选择从外部数据导入>编辑，选择数据集范围，上图创建的winlog，点击确定。该配置表示会vector会通过20000端口接收数据，并存到指定的数据集winlog。

Windows端配置

windowds端需要先安装Winlogbeat，再安装vector。

●Winlogbeat负责收集windows eventlog

●Vector负责将windows eventlog发送到鸿鹄

安装Winlogbeat

下载winlogbeat

（https://www.elastic.co/cn/downloads/beats/winlogbeat）

将下载后的包解压到C:\，并重名winlogbeat-为winlogbeat

以管理员身份打开PowerShell prompt

（可选）.\install-service-winlogbeat.ps1报错解决

检查服务是否运行

进入安装目录，默认为C:\winlogbeat修改配置文件winlogbeat.yml，将里面的内容都删掉，只保留这部分

TIPS：

winlogbeat可以采集多种Windows event log，例如Application、System和Security等。可以修改其配置文件，减少或增加监控项。配置文件路径如下：

若是修改配置文件后，可以通过如下命令进行测试

Winlogbeat会在winlogbeat.exe进程的启动目录里生成名为data的数据目录，如果想让Winlogbeat重新获取所有event log数据，可以在winlogbeat.exe进程停止运行后删除该目录，再重启即可

安装vector

下载vector

将下载后的包解压到c:\，并重命名为vector（重名的主要目的是命令行好调用）

进入到c:\vector\config目录下，修改vector.toml配置文件

打开powershell，运行vector

此时登录到鸿鹄可以查看到数据已经发送到鸿鹄。登录鸿鹄后查看数据如下：

验证没问题后，配置vector开机自动运行

打开服务，设置为开机自动启动

如果配置错了，删除服务，如果删除后有报错，提示deleteservice failed 1072，注销后重新登录即可

仪表板

我已经创建了windowns event log的数据分析仪表板，并保存为了配置文件，可以直接导入仪表板配置文件（见文末的附件）来创建。如果你的数据集名称和我的不一样，需要将数据集名称进行变更。

仪表盘导入

新建仪表板>选择仪表盘配置文件>浏览后选择你需要导入的仪表盘文件即可

仪表板展示

效果图主要包含两个部分，第一部分是事件概览，第二部分是登录事件的分析。

仪表板文件

Windows Event仪表板.json(18 kB)

（具体文档请加入鸿鹄技术交流群至知识库获取）

Windows事件日志不全解决

现象

如果你发现你进来的数据不全，那是因为winlogbeat会在winlogbeat.exe进程的启动目录里生成名为data的数据目录，这里会生成checkpoint，如果你打断了这个进程，再次运行的时候可能会从下一个checkpoint点开始，也就是说，这时候你的数据就不全了，他会从新的checkpoint读取数据，而不会从你上次打算的checkpoint读取数据。

解决方法

让Winlogbeat重新获取所有event log数据，可以在winlogbeat.exe进程停止运行后删除该目录，再重启即可。方法如下：

先删除YHP上数据集内的数据，避免后面进入数据会出现重复数据

ctrl+c停止vector数据输入

删除data目录

重新运行vector

再次查询，发现数据条目正常了