采集 Windows 环境日志至 CLS

最近更新时间：2023-12-11 15:05:12

我的收藏

本页目录：

操作场景
本文指导您使用 Winlogbeat 或者 Filebeat 采集 Windows 环境日志上传至 CLS。
前提条件
已开通日志服务（Cloud Log Service，CLS），并创建对应资源（如日志集和日志主题）。
已在 腾讯云访问管理控制台 获取到 SecretId 和 SecretKey。
操作步骤
使用 LogListener Windows 版采集 Windows 事件日志
详情请参见 采集 Windows 事件日志。
使用 Filebeat 采集 Windows 文件日志
安装 Filebeat
1. 前往 官网，选择对应版本，下载安装包。
2. 将安装包上传至目标 Windows 主机某个盘的根目录，并解压缩。
3. 以管理员身份打开 powershell，cd至解压后的文件目录中，并执行如下命令安装 Filebeat：
#执行安装脚本，安装 filebeat 服务
.\\install-service-filebeat.ps1 
﻿
#安装模板文件
.\\filebeat.exe setup -e
﻿
#启动 filebeat 服务
start-service filebeat
上传日志至 CLS
在 Filebeat 安装目录中， 找到 filebeat.reference.yml 文件，复制并命名为filebeat.yml。 打开filebeat.yml并将其中的 output.kafka 修改为如下内容； 该配置将指定 Filebeat 将日志发送到 CLS Kafka 生产端。
output.kafka:
  enabled: true
  hosts: ["${region}-producer.cls.tencentyun.com:9095"] # TODO 服务地址；外网端口9096，内网端口9095
  topic: "${topicID}" #  TODO topicID
  version: "0.11.0.2"
  compression: "${compress}"   # 配置压缩方式，支持gzip，snappy，lz4；例如"lz4"
  username: "${logsetID}"
  password: "${SecurityId}#${SecurityKey}"
参数
说明
鉴权机制
当前支持 SASL_PLAINTEXT
hosts
CLS Kafka 地址。根据目标写入日志主题所在地域配置。 参见 服务入口﻿
topic
CLS Kafka topic名称。配置为日志主题 ID。例如：76c63473-c496-466b-XXXX-XXXXXXXXXXXX
username
CLS Kafka 访问用户名。配置为日志集 ID。  例如：0f8e4b82-8adb-47b1-XXXX-XXXXXXXXXXXX
password
CLS Kafka 访问密码。格式为 ${SecurityId}#${SecurityKey}。例如：XXXXXXXXXXXXXX#YYYYYYYY。 密钥信息获取请前往 密钥获取﻿
服务入口
地域
网络类型
端口号
服务入口
广州
内网
9095
gz-producer.cls.tencentyun.com:9095
﻿
外网
9096
gz-producer.cls.tencentcs.com:9096
注意
 本文档以广州地域为例，内外网域名需用不同端口标识，其他地域请替换地址前缀。详情请参见 可用域名-Kafka 上传日志。
﻿

上一篇: 低版本 LogListener 异常状态排查下一篇: 采集/查询主机文件日志

参数	说明
鉴权机制	当前支持 SASL_PLAINTEXT
hosts	CLS Kafka 地址。根据目标写入日志主题所在地域配置。参见服务入口
topic	CLS Kafka topic名称。配置为日志主题 ID。例如：76c63473-c496-466b-XXXX-XXXXXXXXXXXX
username	CLS Kafka 访问用户名。配置为日志集 ID。例如：0f8e4b82-8adb-47b1-XXXX-XXXXXXXXXXXX
password	CLS Kafka 访问密码。格式为 `${SecurityId}#${SecurityKey}`。例如：XXXXXXXXXXXXXX#YYYYYYYY。密钥信息获取请前往密钥获取

地域	网络类型	端口号	服务入口
广州	内网	9095	gz-producer.cls.tencentyun.com:9095
广州		外网	9096	gz-producer.cls.tencentcs.com:9096