Настройка Winlogbeat для ELK

Winlogbeat это служба, которая отправляет Windows логи на сервер ELK.
Распространяется она в виде PowerShell скрипта, скачать можно отсюда.
Распаковываем скачанный архив и переходим к запуску скрипта.. для это воспользуемся PowerShellом.

PS C:\Users\Administrator> cd ‘C:\Winlogbeat’
PS C:\Winlogbeat> PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-winlogbeat.ps1

(такая команда позволит запустить не подписанный скрипт).

После успешной установки службы, настроим конфигурационный файл, расположенный в папке со скриптом.
Откроем в блокноте файл C:\Winlogbeat\winlogbeat.yml
Я его очищаю полностью и оставляю только такие строчки:

output:
logstash:
hosts: [«ip_elk_стека:5044»] index: winlogbeat

winlogbeat:
registry_file: C:/ProgramData/winlogbeat/.winlogbeat.yml
event_logs:
— name: Application
— name: Security
— name: System
logging:
to_files: true
files:
path: C:/winlogbeat/winlogbeat/Logs
level: debug

Здесь мы указываем куда отправлять логи и какие логи отправлять, а так же куда складывать дебаг логи самой службы.
Есть гибкие фильтры для отправки только нужных логов.
Пример: отправка логов определенного уровня критичности.

— name: Security
level: critical, error, warning

Пример: отправка логов с определенными id.

— name: Security
event_id: 4624, 4625, 4700-4800, -4735

Более подробно можно посмотреть в документации по Winlogbeat.

4 комментария

  1. В таком виде он будет гнать логи. В открытом виде. Не страшно? А если гнать на прямую на эластику и открывать порт так вообще можно все шарды без проблем поудалять через CURL -XDELETE. Если прикрутить X-PACK то пароли в конфиге хранятся в открытом виде что тоже напрягает. Понятно что можно ограничить доступ с помощью пермишенов файловой системы… Но как-то все равно стремновато.

  2. столкнулся с тем, что winlogbeat пытается гнать в ip4 а логстат слушает ip6 — как заставить его слушать ipv4

    1. Logstash должен слушать и ipv4, и ipv6. Может что-то с firewall? Или еще вроде в Java можно задавать приоритет, но точно не помню где.

Добавить комментарий

Ваш адрес email не будет опубликован.