[10] Winlogbeat – Instalacja

29 marca 2022 Wyłączono przez Adam [zicherka] Nogły

Zainstaluj Winlogbeat, który wysyła dzienniki zdarzeń systemu Windows do Elasticsearch lub Logstash.

Ten przykład jest oparty na środowisku, jak poniżej.

[1] Pobierz Winlogbeat z poniższej oficjalnej strony na system Windows Server: -> https://www.elastic.co/downloads/beats/winlogbeat.

[2] Po pobraniu wyodrębnij plik, zmień nazwę i przenieś do folderu, [C:\ProgramData\].

[3] Uruchom Powershell i dodaj usługę Winlogbeat jak poniżej.

PS > cd "C:\ProgramData\winlogbeat"
PS > ./install-service-winlogbeat.ps1

[4] Otwórz plik ustawień i edytuj go: -> [C:\Program Files\winlogbeat\winlogbeat.yml].

Dodatkowo dodaj w sekcji [Kibana] następującą linię:

ssl.verification_mode: none

[5] Po zakończeniu konfiguracji uruchom usługę Winlogbeat.

[6] Sprawdź status, czy dane zostały zebrane normalnie na hoście serwera Elasticsearch.

Aby móc umożliwić systemowi Windows podłączyć się do Elasticsearch, należy wyspecyfikować adres hosta, port w Elasticsearch – czyli zbudować klaster z co najmniej jednym węzłem. Dlatego też wykonaj instalację zgodnie z „Konfiguracja klastra Elasticsearch”, lub stwórz klaster z co najmniej jednym węzłem.

[root@vlsr01 ~]# mcedit /etc/elasticsearch/elasticsearch.yml
# linia 17: wpisz nazwę klastra
cluster.name: elastic-application
# linia 23: wpisz nazwę hosta
node.name: ${HOSTNAME}
# linia 56: wpisz adres hosta
network.host: 0.0.0.0
# linia 70: wpisz nazwy hostów (wpisz dokładnie tą nazwę, którą ustawiłeś w [node.name])
discovery.seed_hosts: [”vlsr01.zicher.lab”]
# linia 74: wpisz nazwę master hosta (wpisz dokładnie tą nazwę, którą ustawiłeś w [node.name])
cluster.initial_master_nodes: [”vlsr01.zicher.lab”]
# zrestartuj Elasticsearch
[root@vlsr01 ~]# systemctl restart elasticsearch

# lista indeksów
[root@vlsr01 ~]# curl localhost:9200/_cat/indices?v
health status index                               uuid                   pri rep docs.count docs.deleted store.size pri.store.size
green  open   .apm-agent-configuration            5G3uKQzFReOnbIAS1thWCg   1   0          0            0       226b           226b
yellow open   packetbeat-7.17.1-2022.03.27-000001 YmtowBRbQjSaYcjWVRqRHA   1   1    1119878            0    342.4mb        342.4mb
green  open   .kibana_task_manager_7.17.1_001     OSLFw2ALSgi4QKmU_ucjOA   1   0         17           54     94.1kb         94.1kb
green  open   .geoip_databases                    3Blp2ITzT3OGMcKpXWQmvQ   1   0         44           39     41.4mb         41.4mb
yellow open   sshd_fail-2022.03                   oEnHEEU5QAe_qnDkUUhxYg   1   1         40            0     41.6kb         41.6kb
green  open   .apm-custom-link                    xQPmqjYQQNGk7jqY47y5lg   1   0          0            0       226b           226b
yellow open   metricbeat-7.17.1-2022.03.26-000001 7YefwbdcSdehjGkbWHoFog   1   1     152771            0     97.8mb         97.8mb
yellow open   heartbeat-7.17.1-2022.03.27-000001  A6XA-CJiSl6FMPlIJr_B_Q   1   1       3706            0      5.1mb          5.1mb
green  open   .async-search                       KVliO2njSce1JuGEXKxeuQ   1   0         19         1181    148.3kb        148.3kb
green  open   .kibana_7.17.1_001                  rnb6SpMkQQmPFx1PI4t77Q   1   0       6178           41      4.3mb          4.3mb
yellow open   winlogbeat-7.17.1-2022.03.27-000001 u1ibH9t3Q--uIDiybRcBxQ   1   1        346            0        1mb            1mb
yellow open   auditbeat-7.17.1-2022.03.27-000001  XPANj74qRra926e9n2o60g   1   1     609468            0    272.3mb        272.3mb
yellow open   filebeat-7.17.1-2022.03.27-000001   AHMGTS80TmqndW4G6_Qo8w   1   1       6662            0      1.2mb          1.2mb

# lista dokumentów w indeksie
[root@vlsr01 ~]# curl localhost:9200/winlogbeat-7.17.1-2022.03.27-000001/_search?pretty
{
  "took" : 12,
  "timed_out" : false,
  "_shards" : {
    "total" : 1,
    "successful" : 1,
    "skipped" : 0,
    "failed" : 0
  },
  "hits" : {
    "total" : {
      "value" : 10000,
      "relation" : "gte"
    },
    "max_score" : 1.0,
    "hits" : [
      {
        "_index" : "winlogbeat-7.17.1-2022.03.27-000001",
        "_type" : "_doc",
        "_id" : "1woWzX8B32bm9tdPVbBi",
        "_score" : 1.0,
        "_source" : {
          "@timestamp" : "2022-03-27T20:34:24.525Z",
          "ecs" : {
            "version" : "1.12.0"
          },
          "agent" : {
            "id" : "2a36f9d6-5adb-4f07-94e9-b562e77b9902",
            "name" : "vwsr01",
            "type" : "winlogbeat",
            "version" : "7.17.1",
            "hostname" : "vwsr01",
            "ephemeral_id" : "0c17f7bf-5829-4fec-b725-b5889600b4b9"
          },
          "event" : {
            "provider" : "Service Control Manager",
            "created" : "2022-03-27T20:34:26.288Z",
            "code" : "7036",
            "kind" : "event"
          },
          "log" : {
            "level" : "information"
          },
          "message" : "The Software Protection service entered the running state.",
          "host" : {
            "architecture" : "x86_64",
            "os" : {
              "kernel" : "10.0.17763.1757 (WinBuild.160101.0800)",
              "build" : "17763.1757",
              "type" : "windows",
              "platform" : "windows",
              "version" : "10.0",
              "family" : "windows",
              "name" : "Windows Server 2019 Standard Evaluation"
            },
            "name" : "vwsr01.zicher.lab",
            "id" : "2d198085-72e3-4d58-a1ed-a0ed2136f9d7",
            "ip" : [
              "fe80::743b:2c19:90fe:364c",
              "192.168.100.111"
            ],

[7] Jeśli Kibana jest uruchomiona, możliwe jest importowanie danych do przykładowych pulpitów nawigacyjnych.

PS > cd "C:\ProgramData\winlogbeat"
PS > ./winlogbeat setup –dashboards