[10] Winlogbeat – Instalacja
29 marca 2022Zainstaluj Winlogbeat, który wysyła dzienniki zdarzeń systemu Windows do Elasticsearch lub Logstash.
Ten przykład jest oparty na środowisku, jak poniżej.
[1] Pobierz Winlogbeat z poniższej oficjalnej strony na system Windows Server: -> https://www.elastic.co/downloads/beats/winlogbeat.
[2] Po pobraniu wyodrębnij plik, zmień nazwę i przenieś do folderu, [C:\ProgramData\].
[3] Uruchom Powershell i dodaj usługę Winlogbeat jak poniżej.
PS > cd "C:\ProgramData\winlogbeat" PS > ./install-service-winlogbeat.ps1
[4] Otwórz plik ustawień i edytuj go: -> [C:\Program Files\winlogbeat\winlogbeat.yml].
Dodatkowo dodaj w sekcji [Kibana] następującą linię:
ssl.verification_mode: none
[5] Po zakończeniu konfiguracji uruchom usługę Winlogbeat.
[6] Sprawdź status, czy dane zostały zebrane normalnie na hoście serwera Elasticsearch.
Aby móc umożliwić systemowi Windows podłączyć się do Elasticsearch, należy wyspecyfikować adres hosta, port w Elasticsearch – czyli zbudować klaster z co najmniej jednym węzłem. Dlatego też wykonaj instalację zgodnie z „Konfiguracja klastra Elasticsearch”, lub stwórz klaster z co najmniej jednym węzłem.
[root@vlsr01 ~]# mcedit /etc/elasticsearch/elasticsearch.yml # linia 17: wpisz nazwę klastra cluster.name: elastic-application # linia 23: wpisz nazwę hosta node.name: ${HOSTNAME} # linia 56: wpisz adres hosta network.host: 0.0.0.0 # linia 70: wpisz nazwy hostów (wpisz dokładnie tą nazwę, którą ustawiłeś w [node.name]) discovery.seed_hosts: [”vlsr01.zicher.lab”] # linia 74: wpisz nazwę master hosta (wpisz dokładnie tą nazwę, którą ustawiłeś w [node.name]) cluster.initial_master_nodes: [”vlsr01.zicher.lab”] # zrestartuj Elasticsearch [root@vlsr01 ~]# systemctl restart elasticsearch # lista indeksów [root@vlsr01 ~]# curl localhost:9200/_cat/indices?v health status index uuid pri rep docs.count docs.deleted store.size pri.store.size green open .apm-agent-configuration 5G3uKQzFReOnbIAS1thWCg 1 0 0 0 226b 226b yellow open packetbeat-7.17.1-2022.03.27-000001 YmtowBRbQjSaYcjWVRqRHA 1 1 1119878 0 342.4mb 342.4mb green open .kibana_task_manager_7.17.1_001 OSLFw2ALSgi4QKmU_ucjOA 1 0 17 54 94.1kb 94.1kb green open .geoip_databases 3Blp2ITzT3OGMcKpXWQmvQ 1 0 44 39 41.4mb 41.4mb yellow open sshd_fail-2022.03 oEnHEEU5QAe_qnDkUUhxYg 1 1 40 0 41.6kb 41.6kb green open .apm-custom-link xQPmqjYQQNGk7jqY47y5lg 1 0 0 0 226b 226b yellow open metricbeat-7.17.1-2022.03.26-000001 7YefwbdcSdehjGkbWHoFog 1 1 152771 0 97.8mb 97.8mb yellow open heartbeat-7.17.1-2022.03.27-000001 A6XA-CJiSl6FMPlIJr_B_Q 1 1 3706 0 5.1mb 5.1mb green open .async-search KVliO2njSce1JuGEXKxeuQ 1 0 19 1181 148.3kb 148.3kb green open .kibana_7.17.1_001 rnb6SpMkQQmPFx1PI4t77Q 1 0 6178 41 4.3mb 4.3mb yellow open winlogbeat-7.17.1-2022.03.27-000001 u1ibH9t3Q--uIDiybRcBxQ 1 1 346 0 1mb 1mb yellow open auditbeat-7.17.1-2022.03.27-000001 XPANj74qRra926e9n2o60g 1 1 609468 0 272.3mb 272.3mb yellow open filebeat-7.17.1-2022.03.27-000001 AHMGTS80TmqndW4G6_Qo8w 1 1 6662 0 1.2mb 1.2mb # lista dokumentów w indeksie [root@vlsr01 ~]# curl localhost:9200/winlogbeat-7.17.1-2022.03.27-000001/_search?pretty { "took" : 12, "timed_out" : false, "_shards" : { "total" : 1, "successful" : 1, "skipped" : 0, "failed" : 0 }, "hits" : { "total" : { "value" : 10000, "relation" : "gte" }, "max_score" : 1.0, "hits" : [ { "_index" : "winlogbeat-7.17.1-2022.03.27-000001", "_type" : "_doc", "_id" : "1woWzX8B32bm9tdPVbBi", "_score" : 1.0, "_source" : { "@timestamp" : "2022-03-27T20:34:24.525Z", "ecs" : { "version" : "1.12.0" }, "agent" : { "id" : "2a36f9d6-5adb-4f07-94e9-b562e77b9902", "name" : "vwsr01", "type" : "winlogbeat", "version" : "7.17.1", "hostname" : "vwsr01", "ephemeral_id" : "0c17f7bf-5829-4fec-b725-b5889600b4b9" }, "event" : { "provider" : "Service Control Manager", "created" : "2022-03-27T20:34:26.288Z", "code" : "7036", "kind" : "event" }, "log" : { "level" : "information" }, "message" : "The Software Protection service entered the running state.", "host" : { "architecture" : "x86_64", "os" : { "kernel" : "10.0.17763.1757 (WinBuild.160101.0800)", "build" : "17763.1757", "type" : "windows", "platform" : "windows", "version" : "10.0", "family" : "windows", "name" : "Windows Server 2019 Standard Evaluation" }, "name" : "vwsr01.zicher.lab", "id" : "2d198085-72e3-4d58-a1ed-a0ed2136f9d7", "ip" : [ "fe80::743b:2c19:90fe:364c", "192.168.100.111" ],
[7] Jeśli Kibana jest uruchomiona, możliwe jest importowanie danych do przykładowych pulpitów nawigacyjnych.
PS > cd "C:\ProgramData\winlogbeat" PS > ./winlogbeat setup –dashboards