Для доставки событий из Windows в ELK используется WinlogBeat. В принципе по настройке всё и так есть на офсайте.

elk windows monitoring security winlogbeat

Если вы тут оказались, то значит вы также, как и я захотели отправлять вывод своих скриптов в Elasticsearch. По умолчанию в стеке ELK запускать скрипты можно только используя Logstash. Но конечно ставить на все хосты Logstash как-то не хочется, и...

elk execbeat

С помощью Keystore мы можем безопасно использовать пароли в файлах конфигураций ELK. Если просто, то мы создаём хранилище ключей, к которому будут иметь доступ только приложения ELK.

logstash security elk monitoring

В логах Filebeat или же просто мониторя исходящий трафик на сервере вы можете обнаружить что ваш Filebeat постоянно обращается к ip-адресу 169.254.169.254.

filebeat metricbeat elk monitoring

Может так произойти что при использовании связки Filebeat + Elasticsearch вы в итоге получите дублирование логов. А заметить это можно далеко не сразу, так как это происходит только после перезапуска Filebeat. Т.е. для примера вы мониторите файл /var/log/messages и вроде...

filebeat elk monitoring

В elk существует возможность делать вложенный поиск, т.е искать по заданным критериям в уже выполненном поиске. Такой поиск также называется как bool query.

elasticsearch elk monitoring

Если вы отправляете запросы в elk на сайт с самоподписаным сертификатом или куда еще лучше между вами есть MITM государственный (кто с KZ тот поймёт) то вы можете получить ошибку [UNABLE_TO_GET_ISSUER_CERT_LOCALLY] unable to get local issuer certificate.

elk

Если вы часто пишите запросы скорее всего у вас один и тот же запрос повторяется большое количество раз. И конечно можно упростить использование таких запросов применяя шаблоны поиска.

elk

Версии Elasticsearch обозначаются как X, Y и Z:

elkstack elk