接下来通过 Ctrl + Shift + Esc 弹出职分管理器
点击文件–>运行新职分

然后通过 Ctrl + Shift + Esc 弹出任务管理器
点击文件–>运行新义务

powershell解决win10初阶菜单和公告大旨不可以打开,powershellwin10

接下来通过 Ctrl + Shift + Esc 弹出任务管理器
点击文件–>运行新职责

澳门金沙国际 1

在开辟的填写框里面输入
“powershell”同时勾选下方的”以管理员身份运行”,确定!

澳门金沙国际 2

在开拓的窗口里面再度输入以上的哪内容

澳门金沙国际 3

 

Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"}

 

运转成功后,再试试就能开拓了

澳门金沙国际 4

澳门金沙国际 5

上边也得以在磁盘中找到
“Powershell”的路子,然后通过右键单击以管理员运行也可以打开Powershell窗口

升迁一下,小编利用的是win10商厦版,大概两样的版本有例外的缓解方法,若是当您一开端设置到位之后就无法开拓初始菜单哪么能够尝试选取这几个格局

然后透过 Ctrl + Shift + Esc 弹出职务管理器 点击文件–运行新职务在开辟的填充框…

Beats是elastic集团的一款轻量级数据收集成品,它包蕴了多少个子产品:

澳门金沙国际 6

澳门金沙国际 7

  • packetbeat(用于监控互联网流量)、
  • filebeat(用于监听日志数据,可以取代logstash-input-file)、
  • topbeat(用于收集进度的音信、负载、内存、磁盘等数码)、
  • winlogbeat(用于采集windows事件日志)

在打开的填写框里面输入
“powershell”同时勾选下方的”以管理员身份运行”,确定!

在开辟的填写框里面输入
“powershell”同时勾选下方的”以管理员身份运行”,确定!

其余社区还提供了dockerbeat等工具。由于他们都是基于libbeat写出来的,因而配置上基本相同,只是input输入的地方各相差很大。

澳门金沙国际 8

澳门金沙国际 9

本文根据如下的内容逐条进行介绍:

 

 

  • WinlogBeat使用指南,powershell解决win10开头菜单和通报中央不只怕开拓。背景知识:关于Powershell的采用
  • packetbeat的下载、布置、使用、结果样例
  • filebeat的下载、部署、使用、样例
  • topbeat的样例
  • winlogbeat的样例

在开拓的窗口里面再次输入以上的哪内容

在开辟的窗口里面再一次输入以上的哪内容

关于Powershell

假诺你是想在linux下使用,那么可以跳过本节。

elastic中的Beats在windows环境中基本都是接纳Powershell的脚本,由此用户必须对Powershell有早晚的打听。Powershell可以明白成windows对命令行的高等封装,加了个壳,从而支持更加多高档的用法。在windows7开首,系统就停放了Powershell工具。由此只要您的体系是xp那种比较老的版本,就须求协调安装Powershell了。

澳门金沙国际 10

澳门金沙国际 11

启动Powershell

在windows下,有二种方法打开Powershell(要以管理员的地方打开)。

 

 

透过图标打开

在windows下打开搜索,输入powershell,右键以管理人身份运行。

澳门金沙国际 12

Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"}
Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"}

因而命令行启动

在系统路径C:\Windows\System32下,以管理人身份启动cmd.exe(右键选择以管理人身份运行)。

输入指令Powershell,进入Powershell命令窗口。

C:\Windows\system32>Powershell
Windows PowerShell
版权所有 (C) 2009 Microsoft Corporation。保留所有权利。

PS C:\Windows\system32>

 

 

翻开脚本限制

默许的境况下,系统会禁止运行脚本,再次回到下边的一无所长提醒:

PS E:\packetbeat> .\install-service-packetbeat.ps1
无法加载文件 E:\packetbeat\install-service-packetbeat.ps1,因为在此系统中禁止执
行脚本。有关详细信息,请参阅 "get-help about_signing"。
所在位置 行:1 字符: 33
+ .\install-service-packetbeat.ps1 <<<<
    + CategoryInfo          : NotSpecified: (:) [], PSSecurityException
    + FullyQualifiedErrorId : RuntimeException

亟待修改该参数执行上面的指令,开启Powershell脚本效能:

PS E:\packetbeat> set-ExecutionPolicy RemoteSigned

运转达成后,再尝试就能开拓了

运转已毕后,再尝试就能打开了

Packetbeat 互连网流量监控

Packetbeat属于beats产品的一片段,专门负责网络数据包分析,可以:

  • 澳门金沙国际,本着特定的网卡监听流量;
  • 可以安装相关的监听目标和端口号,支持dns,http,memcahce,mysql,pgsql,redis,thrift,mongodb等;
  • 可以出口到一定的目标地,如elasticsearch、logstash、file、console等。

澳门金沙国际 13

澳门金沙国际 14

下载

澳门金沙国际 15

澳门金沙国际 16

部署

下面也可以在磁盘中找到
“Powershell”的路线,然后经过右键单击以管理员运行也足以打开Powershell窗口

地点也足以在磁盘中找到
“Powershell”的门径,然后经过右键单击以管理人运行也足以打开Powershell窗口

linux环境

唤醒一下,作者使用的是win10店铺版,大概两样的本子有两样的缓解措施,即使当你一早先设置到位之后就无法打开初阶菜单哪么可以品尝运用这些主意

唤醒一下,作者利用的是win10合作社版,或者不相同的版本有两样的解决格局,如果当您一开头设置已毕未来就无法开拓开首菜单哪么可以品味选用那几个措施

第一步,解压缩

下载.tar.gz的装置包后,解压:

tar -zxvf packetbeat-1.2.3-x86_64.tar.gz

进入解压后的公文夹,里面有3个文本:

--- packetbeat #启动文件
--- packetbeat.template.json #Elasticsearch中的映射配置
--- packetbeat.yml #Packetbeat的配置文件
其次步,修改配置文件

安排文件包括了几大片段:

# 配置网络监听的显卡
interfaces:
    device:any
# 配置协议
protocols:
    http:
        ports:[80,8080,9000]
    redis:
        ports:[6379]
# 配置输出
output:
    elasticsearch:
        hosts:["localhost:9200"]
        inex:"packetbeat"
        template:
            name:"packetbeat"
            path:"packetbeat.template.json"
            overwrite:false
    logstah:
        hosts:["localhost:5044"]
    file:
        path:"/tmp/packetbeat"
        filename:packetbeat
    console:
shipper:
logging:
第三步,运行

健康的运作:

./packetbeat

只要想要后台运行,则可以像上边那样:

nohup ./packetbeat &

默许日志都会输出到nohup.out中。

windows环境

第一步,解压

比较linux,多了五个powershell的台本。

--- install-service-packetbeat.ps1 # 注册脚本
--- uninstall-service-packetbeat.ps1 # 注销脚本
--- packetbeat.exe #启动文件
--- packetbeat.template.json #Elasticsearch中的映射配置
--- packetbeat.yml #Packetbeat的配置文件
其次步,以管理人身份进入命令行,运行注册脚本

跻身指定的目录,运行注册脚本。

 .\install-service-winlogbeat.ps1
其三步,启动服务
Start-Service packetbeat.exe

对接Elasticsearch

Packetbeat配置如下:

  elasticsearch:
    hosts: ["localhost:9200"]
    index: "packetbeat"
    template:
      name: "packetbeat"
      path: "packetbeat.template.json"

对接logstash

Packetbeat配置如下:

logstash:
    # The Logstash hosts
    hosts: ["localhost:5044"]

logstash接纳logstash-input-beats接收,配置可以参见如下:

input{
    beats{
        port => 5044
    }
    stdin{}
}
output{
    stdout{
        codec => rubydebug
    }
    file{
        path => "E:\server.log"
    }
}

存储到file

PacketBeat配置:

  file:
    path: "E:/packetbeat"
    filename: packetbeat

默许是鲁人持竿文件大小轮询。

日记管理

日记可以设置输出的职位,以及级别。跟平日使用的log4j几乎:

logging:
  files:
    path: E:/mybeat
    name: mybeat
    level: debug

Packetbeat监听到的剧情

{
    "_index": "packetbeat-2016.08.01",
    "_type": "dns",
    "_id": "AVZELeQzbZnlZq0jh6Vk",
    "_version": 1,
    "_score": 1,
    "_source": {
        "@timestamp": "2016-08-01T03:37:53.106Z",
        "beat": {
            "hostname": "XINGHL",
            "name": "XINGHL"
        },
        "bytes_in": 31,
        "bytes_out": 260,
        "client_ip": "10.4.45.44",
        "client_port": 51599,
        "client_proc": "",
        "client_server": "",
        "count": 1,
        "direction": "out",
        "dns": {
            "additionals": [
                {
                    "class": "IN",
                    "data": "115.239.210.176",
                    "name": "ns4.a.shifen.com",
                    "ttl": 281,
                    "type": "A"
                },
                {
                    "class": "IN",
                    "data": "119.75.222.17",
                    "name": "ns5.a.shifen.com",
                    "ttl": 281,
                    "type": "A"
                },
                {
                    "class": "IN",
                    "data": "61.135.165.224",
                    "name": "ns1.a.shifen.com",
                    "ttl": 281,
                    "type": "A"
                },
                {
                    "class": "IN",
                    "data": "180.149.133.241",
                    "name": "ns2.a.shifen.com",
                    "ttl": 281,
                    "type": "A"
                },
                {
                    "class": "IN",
                    "data": "61.135.162.215",
                    "name": "ns3.a.shifen.com",
                    "ttl": 281,
                    "type": "A"
                }
            ],
            "additionals_count": 5,
            "answers": [
                {
                    "class": "IN",
                    "data": "www.a.shifen.com",
                    "name": "sp1.baidu.com",
                    "ttl": 33,
                    "type": "CNAME"
                },
                {
                    "class": "IN",
                    "data": "61.135.169.125",
                    "name": "www.a.shifen.com",
                    "ttl": 282,
                    "type": "A"
                },
                {
                    "class": "IN",
                    "data": "61.135.169.121",
                    "name": "www.a.shifen.com",
                    "ttl": 282,
                    "type": "A"
                }
            ],
            "answers_count": 3,
            "authorities": [
                {
                    "class": "IN",
                    "data": "ns5.a.shifen.com",
                    "name": "a.shifen.com",
                    "ttl": 1182,
                    "type": "NS"
                },
                {
                    "class": "IN",
                    "data": "ns1.a.shifen.com",
                    "name": "a.shifen.com",
                    "ttl": 1182,
                    "type": "NS"
                },
                {
                    "class": "IN",
                    "data": "ns3.a.shifen.com",
                    "name": "a.shifen.com",
                    "ttl": 1182,
                    "type": "NS"
                },
                {
                    "class": "IN",
                    "data": "ns2.a.shifen.com",
                    "name": "a.shifen.com",
                    "ttl": 1182,
                    "type": "NS"
                },
                {
                    "class": "IN",
                    "data": "ns4.a.shifen.com",
                    "name": "a.shifen.com",
                    "ttl": 1182,
                    "type": "NS"
                }
            ],
            "authorities_count": 5,
            "flags": {
                "authoritative": false,
                "recursion_allowed": true,
                "recursion_desired": true,
                "truncated_response": false
            },
            "id": 32509,
            "op_code": "QUERY",
            "question": {
                "class": "IN",
                "name": "sp1.baidu.com",
                "type": "A"
            },
            "response_code": "NOERROR"
        },
        "ip": "210.83.210.155",
        "method": "QUERY",
        "port": 53,
        "proc": "",
        "query": "class IN, type A, sp1.baidu.com",
        "resource": "sp1.baidu.com",
        "responsetime": 1,
        "server": "",
        "status": "OK",
        "transport": "udp",
        "type": "dns"
    }
}

filebeat 日志监听

filebeat是Beats的严重性组成部分,它可以看成轻量级的多寡收集引擎,替代在此之前的logstash-forward。

下载

说明

filebeat.yml为filebeat的安顿文件,包含下边几个部分:

-- filebeat # 配置filebeat监听的对象,即文件路径或者目录的路径
-- output # 输出配置,支持es,logstash,file,console等
-- shipper
-- logging # 配置日志

filebeat.template.json 为默许提供的elasticsearch映射模板
filebeat为主要的实践顺序

运行

linux环境

运转命令解压安装包——filebeat.tar.gz

tar -zxvf filebeat.tar.gz

编辑filebeat.yml

vim filebeat.yml

启动filebeat

nohup ./filebeat &

windows环境

以管理人身份运行cmd,
并执行Powershell指令,进入PS形式.启动filebeat注册脚本:

C:\Windows\system32>Powershell
Windows PowerShell
版权所有 (C) 2009 Microsoft Corporation。保留所有权利。

PS C:\Windows\system32> e:
PS E:\> cd .\filebeat-1.2.3-windows
PS E:\filebeat-1.2.3-windows> dir


    目录: E:\filebeat-1.2.3-windows


Mode                LastWriteTime     Length Name
----                -------------     ------ ----
-----         2016/5/18      4:33   10361856 filebeat.exe
-----         2016/5/18      4:33        814 filebeat.template.json
-----         2016/5/18      4:33      17533 filebeat.yml
-----         2016/5/18      4:33        442 install-service-filebeat.ps1
-----         2016/5/18      4:33        184 uninstall-service-filebeat.ps1


PS E:\filebeat-1.2.3-windows> .\install-service-filebeat.ps1

Status   Name               DisplayName
------   ----               -----------
Stopped  filebeat           filebeat

编排配置文件,filebeat.yml

启动filebeat文件

PS E:\filebeat-1.2.3-windows> Start-Service filebeat

样例

{
    "_index": "filebeat-2016.08.01",
    "_type": "log",
    "_id": "AVZE1AMfbZnlZq0jh6cF",
    "_version": 1,
    "_score": 1,
    "_source": {
        "@timestamp": "2016-08-01T06:39:15.193Z",
        "beat": {
            "hostname": "XINGHL",
            "name": "XINGHL"
        },
        "count": 1,
        "fields": null,
        "input_type": "log",
        "message": "hello filebeat",
        "offset": 22988,
        "source": "e:\logs\test.log",
        "type": "log"
    }
}

topbeat 监听进程资源音讯

启动格局与前方几种类似,那里就只是多废话了。

topbeat – windows版

{
    "_index": "topbeat-windows-2016.08.01",
    "_type": "process",
    "_id": "AVZE7zC6bZnlZq0jh8QD",
    "_version": 1,
    "_score": 1,
    "_source": {
        "@timestamp": "2016-08-01T07:09:01.206Z",
        "beat": {
            "hostname": "XINGHL",
            "name": "XINGHL"
        },
        "count": 1,
        "proc": {
            "cmdline": "%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16",
            "cpu": {
                "user": 5538,
                "user_p": 0,
                "system": 7753,
                "total": 13291,
                "start_time": "Jan01"
            },
            "mem": {
                "size": 3391488,
                "rss": 3366912,
                "rss_p": 0,
                "share": 0
            },
            "name": "csrss.exe",
            "pid": 544,
            "ppid": 0,
            "state": "running",
            "username": "NT AUTHORITY\SYSTEM"
        },
        "type": "process"
    }
}

topbeat – linux版本

{
    "_index": "topbeat-2016.08.01",
    "_type": "process",
    "_id": "AVZE6Mh4bZnlZq0jh6jT",
    "_version": 1,
    "_score": 1,
    "_source": {
        "@timestamp": "2016-08-01T07:01:09.641Z",
        "beat": {
            "hostname": "10.0.67.101",
            "name": "10.0.67.101"
        },
        "count": 1,
        "proc": {
            "cpu": {
                "user": 0,
                "user_p": 0,
                "system": 0,
                "total": 0,
                "start_time": "Jul06"
            },
            "mem": {
                "size": 0,
                "rss": 0,
                "rss_p": 0,
                "share": 0
            },
            "name": "migration/0",
            "pid": 5,
            "ppid": 2,
            "state": "sleeping",
            "username": "root"
        },
        "type": "process"
    }
}

winlogbeat windows事件监听

启动形式与前面几体系似,那里就但是多废话了。

{
    "_index": "winlogbeat-2015.11.09",
    "_type": "wineventlog",
    "_id": "AVZE_J7FbZnlZq0jh_sL",
    "_version": 1,
    "_score": 1,
    "_source": {
        "@timestamp": "2015-11-09T00:28:50.953Z",
        "beat": {
            "hostname": "XINGHL",
            "name": "XINGHL"
        },
        "computer_name": "xinghailong",
        "count": 1,
        "event_id": 35,
        "level": "信息",
        "log_name": "System",
        "message": "时间服务现在用时间源 time.neusoft.com,0x9 (ntp.m|0x9|0.0.0.0:123->202.118.6.8:123) 同步系统时间。",
        "record_number": "25479",
        "source_name": "Microsoft-Windows-Time-Service",
        "type": "wineventlog",
        "user": {
            "domain": "NT AUTHORITY",
            "identifier": "S-1-5-19",
            "name": "LOCAL SERVICE",
            "type": "Well Known Group"
        }
    }
}

参考

1 官方文档

2 ELK
Beats文档

相关文章