Роль winlogbeat

Краткое содержание

Эта роль:

• устанавливает winlogbeat на Windows
• копирует подготовленный файл конфигурации (путь к логам, подключение к elasticsearch и т.д.)

Задачи роли

• [Необязательно] Создать папку(и) для пользовательских путей
• Установить winlogbeat
• Скопировать файл конфигурации

Требования

• Минимальная версия Ansible для установки: 2.8
• Поддерживаемые ОС:
  • Windows
    • 2016
    • 2019

Переменные роли

Вы можете переопределить любую из переменных ниже, установив "переменная: значение" в плейбуке.

• winlogbeat_version Используется для выбора основной ветки Winlogbeat для установки. Значение по умолчанию - 7.
• winlogbeat_last_version Используется для выбора конкретной версии Winlogbeat для установки. Значение по умолчанию - 7.4.2
• winlogbeat_node_name Имя узла winlogbeat. Значение по умолчанию - {{ inventory_hostname }}. Если эта опция не определена, используется имя хоста.
• winlogbeat_ssl_enabled Включает/выключает SSL-соединение между winlogbeat и logstash/elasticsearch. Опции SSL должны быть установлены соответствующими полями словаря, как показано ниже:

  ssl:
    key: 'c:\tls\private\server.key'
    certificate: 'c:\tls\certs\server.pem'
    certificate_authorities: 'c:\CA\ca-root.pem'

Раздел path конфигурации определяет, где Winlogbeat ищет свои файлы. Например, Winlogbeat ищет файл шаблона Elasticsearch в каталоге конфигурации и записывает журналы в путь логов. Winlogbeat ищет свои файлы реестра в каталоге данных. Значения по умолчанию для хостов Linux установлены следующим образом:

path:
  home: 'c:\program files\winlogbeat'
  config: 'c:\program files\winlogbeat'
  data: 'c:\programdata\winlogbeat'
  logs: 'c:\programdata\winlogbeat\logs'

• win_download_path Временная директория для Windows для загрузки и распаковки пакета Winlogbeat. Значение по умолчанию - '{{ ansible_env.TEMP }}/winlogbeat' (значение ansible_env.TEMP решает проблему идемпотентности)

Настройка вывода:

• winlogbeat_output Используется для конфигурации типа вывода при отправке данных (elasticsearch или logstash). Значение по умолчанию - elasticsearch

• elasticsearch.host Массив хостов для подключения. Значение по умолчанию - localhost

• elasticsearch.port Значение для установки пользовательского порта. Значение по умолчанию - 9200

• logstash.host Массив хостов для подключения. Значение по умолчанию - localhost

• logstash.port Значение для установки пользовательского порта. Значение по умолчанию - 5044

Расширенные параметры конфигурации:

Раздел winlogbeat(systemd)\initd конфигурационных опций определяет, какой скрипт инициализации будет использоваться для управления службой winlogbeat в зависимости от ОС *nix. Пользовательские пути будут учитываться (если настроены).

• winlogbeat_service_name Имя скрипта nssm\init, который управляет службой winlogbeat

• winlogbeat_bulk_max_size Максимальное количество событий для пакетной обработки в одном запросе Logstash. Значение по умолчанию - 500

• winlogbeat_worker Количество рабочих потоков на хост Elasticsearch. Значение по умолчанию - 1

• winlogbeat_logging_to_syslog Отправлять все выходные данные журнала в syslog. Значение по умолчанию - false

• winlogbeat_logging_to_files Отправлять все выходные данные журнала в ротационные файлы. Значение по умолчанию - true

• winlogbeat_rotateeverybytes Определяет предел размера лог-файла. Значение по умолчанию - 104857600 = 100MB

• winlogbeat_keepfiles Количество файлов журнала, которые нужно сохранить. Значение по умолчанию - 30

• winlogbeat_ignore_older Значение (можно использовать любые временные строки, такие как 2ч, 5м), выше которого логи будут игнорироваться. Значение по умолчанию - 0 (выключено)

• winlogbeat_logname Имя файлов журнала. Значение по умолчанию - "winlogbeat.log"

Зависимости

ca-cert (только для установки с SSL)

Пример плейбука

Установка версии Winlogbeat 7.x:

- name: Установить winlogbeat
  hosts: all
  roles:
    - role: lean_delivery.winlogbeat

Лицензия

Apache

Информация об авторе

авторы:

• Команда Lean Delivery team@lean-delivery.com