官方网：https://www.elastic.co/cn/downloads/beats/winlogbeat

外网比较慢，这里提供百度网盘地址

链接: https://pan.baidu.com/s/1PqVH1p3wn2hRB4_Zfspr2g 提取码: hznc

解压文件 解压到 C:\Program Files，并更改名称为 winlogbeat

安装 管理员权限打开powershell，执行如下命令

1. cd 'C:\Program Files\Winlogbeat'

2. .\install-service-winlogbeat.ps1

可能会提示没有权限，需要执行如下操作
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

这是powershell执行策略的问题，详情参见 docs.microsoft.com/zh-cn/previ…

1. 配置winlogbeat
   编辑 winlogbeat.yml,建议使用 notepad++ 编辑 yml 文件 我这里是输出到 logstash ，还未测试输出到 elasticsearch 的效果

output.logstash:  #取消前面的注释# The Logstash hostshosts: ["10.1.1.15:5044"]复制代码

1. 测试命令
   .\winlogbeat.exe test config -c .\winlogbeat.yml -e

2. 启动服务
   Start-Service winlogbeat