Logstash轉發器作為Windows服務

Question

我正在努力為Windows 2008 R2 Server上的logstash轉發器創建Windows服務。

我的設置如下所示：

Ubuntu Server 14.04 LTS

• Elasticsearch
• Logstash
• Kibana

Windows Server 2008 R2：

• 應用程序記錄到特定路徑。
• 通過Logstash-forwarder將日志發送到ELK堆棧

我目前正在按照此處的說明通過為Windows編譯的Logstash轉發器將日志成功發送到ELK-Stack。https: //github.com/elastic/logstash-forwarder 。 唯一的問題是，我必須在CLI窗口中運行logstash轉發器，而不能將其設置為Windows服務。

我嘗試了以下SC命令，該服務已創建，但該服務將根本無法啟動。 只是返回以下錯誤：服務沒有及時響應啟動或控制請求。

sc create LogstashForwarder binpath= "\"C:\_Logstash\logstash-forwarder.exe\" -config=\"C:\_Logstash\logstash-forwarder.conf\"" start= Auto displayname= "Logstash forwarder" 

不幸的是，谷歌也不知道任何答案。

是否有人能夠使用SC命令將Windows上的logstash轉發器作為Windows服務啟動？ 一些好的建議將不勝感激。

Answer 1

如果您的logstash配置正確，請嘗試以下步驟。

1. 使nssm軟
2. 在logstash的bin文件夾中解壓縮nssm zip

3. 從命令行執行nssm install logstash

4. 在啟動的配置屏幕上將路徑添加到蝙蝠

5. 也添加您的啟動目錄。

在這里您可以獲得更多幫助

https://blog.basefarm.com/blog/how-to-install-logstash-on-windows-server-2012-with-kibana-in-iis/

https://github.com/verbosemode/public-notes/blob/master/logstash-windows.md

希望這個幫助

Answer 2

要添加到Rys的答案中，Logstash-Forwarder本身不會讀取Windows事件日志。 在研究如何解決此問題時，我遇到了Sean-M提出的要點 。

我修改了他的原始腳本，以便Powershell腳本啟動LSF，然后將事件日志傳遞到標准輸入中。 然后，我將NSSM指向腳本並將其作為服務運行。 如果您有這樣的配置文件設置：

        {
          "network": {
            "servers": [ "<logstash IP>:5000" ],
            "timeout": 15,
            "ssl ca": "C:/path/to/logstash-forwarder.crt"
          },
          "files": [
                {
                  "paths": [
                     "C:/inetpub/logs/LogFiles/W3SVC*/*.log"
                   ],
                   "fields": { "type": "iis-w3svc" }
                },
                {
                  "paths": [
                    "-"
                  ],
                  "fields": { "type": "windows-event" }
                }
          ]
        }

LSF將捕獲JSON輸入並將其發送到Logstash。 下面的Powershell代碼**：

#Requires -Version 3
param (
    [string]$lognames
)

#reading security log requires elevated privileges so only read Application and System for now
[string[]]$logname = $("Application", "System" )

if ($lognames)
{
    [string[]]$logname = $lognames -split ", "
}


##################################
#            Functions           #
##################################

function EvenSpace{
    param ($word) 

    $tabWidth = 48

    $wordTabs = $tabWidth - $word.Length
    $tabNum = [Math]::Floor($($wordTabs/4)) / 2

    ("`t" * $tabNum)
}


## Read events, write to file
function ReadEvents {
    param ([hashtable]$filter, [string]$OutFile=[String]::Empty)

    ## Make it look pretty if writting to stdout    
    try {
        [object[]]$data = Get-WinEvent -FilterHashtable $filter -ErrorAction SilentlyContinue | sort RecordId

        [int]$count = 0
        if ((-not $data -eq $null) -or ($data.Count -gt 0)) {            
            $count = $data.Count
        }


        Write-Verbose ("Log: $($filter["LogName"])" + (EvenSpace -word $filter["LogName"]) + "Count: $count")
    }
    catch {
        $Error[0]
        Write-Verbose ""
        Write-Verbose "Filter:"
        $filter
        return
    }


    if ($data.Count -gt 0) {

        foreach ($event in $data) {
            $json = $event | ConvertTo-Json -Compress
            #$jsonbytes = @($json)
            #$process.StandardInput.BaseStream.Write($jsonbytes,0,$jsonbytes.Count)

            Write-Verbose $json

            $process.StandardInput.WriteLine($json)
        }
    }
}

## Use a try/catch/finally to allow for the inputs to be closed and the process stopped
[System.Diagnostics.Process]$process = $null
$endTime = Get-Date

try
{
    ## Prepare to invoke the process
    $processStartInfo = New-Object System.Diagnostics.ProcessStartInfo
    $processStartInfo.FileName = (Get-Command .\logstash-forwarder.exe).Definition
    $processStartInfo.WorkingDirectory = (Get-Location).Path
    $processStartInfo.Arguments = "-config logstash-forwarder.conf"
    $processStartInfo.UseShellExecute = $false

    ## Always redirect the input and output of the process.
    ## Sometimes we will capture it as binary, other times we will
    ## just treat it as strings.
    $processStartInfo.RedirectStandardOutput = $true
    $processStartInfo.RedirectStandardInput = $true

    $process = [System.Diagnostics.Process]::Start($processStartInfo)

    ##################################
    #           Main Logic           #
    ##################################

    ## Loop to capture events
    while ($true) {
        [String]::Empty | Write-Verbose

        Start-Sleep -Seconds 5

        $startTime = $endTime

        [TimeSpan]$diff = (Get-Date) - $startTime
        if ($diff.TotalHours -gt 1) {
            $endTime = $startTime + (New-TimeSpan -Minutes 30)
        }
        else {
            $endTime = Get-Date
        }

        Write-Verbose "Starting timespan $($startTime) -> $($endTime)"

        ## Supports reading multiple logs
        if ($logname.Count -gt 1) {
            foreach ($log in $logname) {
                ReadEvents -filter @{LogName=$log; StartTime=$startTime; EndTime=$endTime} -OutFile $output
            }
        }
        else {
            ReadEvents -filter @{LogName=$logname; StartTime=$startTime; EndTime=$endTime} -OutFile $output
        }
    }
}
catch
{
    Write-Error $error[0]|format-list -force
    throw $_.Exception
}
finally
{
    if($process)
    {
        $process.StandardInput.Close()
        $process.Close()
    }
}

**該腳本並不能真正解決LSF失敗問題，但目前已達到我的目的。

Answer 3

嘗試使用nssm將其添加到“答案”下。 您也可以使用以下命令在不使用UI的情況下從命令行創建服務。

只需確保nssm.exe在同一目錄中，然后從那里運行腳本即可（或只是編輯腳本）。

@echo off
set BASE_DIR=C:\temp\logstash-forwarder
nssm install Logstash-Forwarder "%BASE_DIR%\logstash-forwarder.exe"
nssm set Logstash-Forwarder AppDirectory "%BASE_DIR%"
nssm set Logstash-Forwarder AppStopMethodSkip "6"
nssm set Logstash-Forwarder AppParameters "-config %BASE_DIR%\logstash-forwarder.conf"