Pas mal, une fois que nous avons déjà configuré notre plateforme avec Elasticsearch, Logstash et Kibana, Dans ce premier post, nous allons analyser les événements de l’Observateur d’événements de nos ordinateurs Windows à l’aide de Winlogbeat! Nous installerons le petit agent et enverrons les événements que nous décidons à Logstash de traiter et de stocker dans Elasticsearch, puis nous les visualiserons avec Grafana!

Le processus sera simple, d’abord, nous allons télécharger Winlogbeat à partir de https://www.elastic.co/downloads/beats/winlogbeat, Nous le décompressons et , Par exemple, nous le laissons dans ‘ C:\Program Fileswinlogbeat'. Nous allons modifier le fichier de configuration 'winlogbeat.yml’ en fonction de nos besoins, Quoi qu’il en soit, en winlogbeat.full.yml’ Nous avons toutes les options et fonctionnalités que nous pouvons utiliser.

Configuration de Winlogbeat,

Dans la première section de 'winlogbeat.yml’ nous serons en mesure d’indiquer quels journaux d’événements et quel type nous voulons rediriger, Nous configurons en fonction de nos besoins. L’application est activée par défaut, Sécurité o Système, (rédigé en anglais), pour voir lesquels sont les nôtres, nous avons d’un Powershell exécutant 'Get-EventLog *’ Nous l’avons eu!

[Code source]winlogbeat.event_logs:
– Nom: Application
ignore_older: 72h
– Nom: Sécurité
niveau: critique, erreur, avertissement
– Nom: Système
– Nom: Veeam Agent[/Code source]

Dans la section ===== général, nous pouvons ===== ajouter des balises ou des champs supplémentaires au cas où nous serions intéressés à associer ce Winlogbeat de l’ordinateur avec différents mots-clés, afin qu’ils puissent ensuite être utilisés dans différentes recherches, comment indiquer s’il s’agit d’un Serveur, est une base de données ou un serveur web, ou avoir IIS, votre système d’exploitation…

[Code source]Étiquettes: [« Portable », « Windows 10 », "OS-PO-01"]
champs:
globo_environment: Production[/Code source]

Dans la section Sortie, au lieu d’envoyer des données directement à Elasticsearch, nous les ferons passer par Logstash dans un premier temps pour qu’ils soient traités. Ainsi, dans la section correcte, nous indiquons le serveur Logstash et le port que nous voulons utiliser (Dans cet exemple, le 5044), n’oubliez pas de commenter la sortie Elasticsearch avec # Et nous avons laissé quelque chose comme ça:

[Code source]#——— Sortie Logstash ———
sortie.logstash:
# Les hôtes Logstash
Hôtes: [« DIRECCION_IP_LOGSTASH:5044"][/Code source]

Si nous avons des problèmes ou si nous voulons que Winlogbeat génère un journal pour les problèmes de débogage, nous devons activer:

[Code source]logging.to_files: Vrai
journalisation.fichiers:
Chemin: C:\Program Fileswinlogbeatlogs
logging.level: info[/Code source]

Une fois Winlogbeat configuré, nous pouvons tester si nous avons correctement configuré son fichier de configuration, nous ouvrons un PowerShell avec des privilèges d’administrateur et allons dans son chemin d’accès, Courir:

[Code source].\winlogbeat.exe test config -c .winlogbeat.yml -e[/Code source]

La première fois, nous devons importer le modèle avec le format de champ que vous devez générer dans notre Elasticsearch, Courir:

[Code source].\winlogbeat.exe configuration –template -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=[« direccion_ip_elasticsearch:9200"]'[/Code source]

Configuration de Logstash,

Avant d’aller plus loin, nous allons aller sur le serveur Logstash, et nous allons autoriser Logstash à accepter les journaux Winlogbeat et à les stocker dans Elasticsearch. Nous utiliserons un seul fichier de configuration appelé '/etc/logstash/conf.d/beats.conf’ pour traiter les journaux que nous recevons d’autres produits Beats de la suite Elasticsearch, et il générera un index pour chacun d’eux, Quelque chose comme ça nous aidera:

[Code source]Entrée{
Bat{
port => "5044"
}
}

sortie{
Recherche élastique {
hôtes=> [« DIRECCION_IP_ELASTICSEARCH:9200"]
indice => "%{[@metadata][Battre]}-%{+AAAA-MM-jj}"
document_type => "%{[@metadata][type]}"
}
}[/Code source]

Nous redémarrons Logstash pour que les modifications prennent effet:

[Code source]Service Logstash Redémarrage[/Code source]

Nous retournons dans notre équipe Windows, installer Winlogbeat en tant que service sur notre Windows et nous pouvons le démarrer:

[Code source].\install-service-winlogbeat.ps1 → Installer en tant que service
Start-Service winlogbeat[/Code source]

et si nous voulons voir l’état de la connexion, nous pouvons exécuter:

[Code source]Get-Content .logswinlogbeat -Wait[/Code source]

Depuis Kibana,

Pas mal, maintenant, à partir de Kibana, nous allons créer le modèle pour cet index, nous ouvrons Kibana, “Gestion” >” Modèles d’indices” > “Création d’un modèle d’index”, Nous indiquons comme motif 'Winlogbeat-*’ et nous suivons le magicien,

Sélectionnez le champ ‘@timestamp’ À utiliser comme filtre temporel, et “Créer un modèle d’index”.

Pour voir les données que nous avons obtenues, Nous allons “Découvrir”, nous avons sélectionné le motif nouvellement créé de Winlogbeat, Si tout s’est passé comme il se doit, nos ordinateurs Windows enverront les événements à Logstash et Logstash à Elasticsearch, Nous aurons stocké les logs de tous les événements que nous avons redirigés!

Nous pouvons ajouter les champs que nous voulons visualiser, ou tous… ainsi que le filtrage des recherches avec la syntaxe de Lucene, pour afficher les événements d’une équipe, quelque chose comme 'computer_name: “NOMBRE_EQUIPO_WINDOWS”‘, o 'niveau: “erreur”‘ il filtrera et nous montrera les événements du niveau d’erreur Windows. En tapant, vous pouvez voir que vous pouvez simplement effectuer des requêtes comme vous le souhaitez pour visualiser les données que vous souhaitez…

Si nous voulons, avec Kibana, nous serons en mesure de créer des visualisations de ces données et de les capturer de manière graphique, quelque chose de beaucoup plus intuitif que ce que nous venons de voir, depuis “Visualiser”!

Nous allons voir que nous allons pouvoir créer des visualisations de type table, Zones, Cartes thermiques, Bars, Lignes, Fromages… Mais, personnellement comme j’aime Grafana c’est ce que nous verrons ensuite. Je ne veux pas dire que je ne vous encourage pas à découvrir Kibana, ce qui est une vraie explosion, Vous verrez que de manière très simple, vous pourrez afficher toutes les données que vous aimez.

De Grafana,

Ce que nous allons voir dans cette partie, est la création initiale d’un connecteur Grafana vers Elasticsearch, puis comment créer notre premier tableau de bord et visualiser les données que nous stockons dans Elasticsearch d’une manière différente et cool.

De notre Grafana, Nous pouvons aller à “Configuration” > “Sources des données”, Nous donnerons un nom à la connexion, dans l’URL, nous devons indiquer l’URL de notre Elasticsearch 'http://DIRECCION_IP_ELASTIC:9200’. Sélectionnez 'winlogbeat-*’ À utiliser comme nom pour les index, nous indiquons le champ @timestamp pour le champ Heure et sélectionnons la version d’Elasticsearch, Cliquez sur “Sauvegarder & Test”,

Et il est temps de créer notre premier tableau de bord! À l’intérieur de celui-ci, nous avons créé un panel, Dans ce cas, ce sera le bar typique, où nous visualiserons tous les événements générés par quelques machines. Nous sélectionnons notre connecteur par rapport aux index Winlogbeat dans Elasticsearch, et nous pouvons utiliser les mêmes requêtes Lucene d’ici pour visualiser ce qui nous intéresse.

Oh, bien, Nous allons créer les types de visualisations qui nous intéressent, Ici, nous voyons les dernières 24 heures de mes équipes, Vos informations Événements, ceux qui sont Avertissement et ceux marqués d’erreurs, Présentoir à fromages et à barres, Vous verrez que dans quelques secondes vous ferez le vôtre!!! J’espère que vous l’avez trouvé intéressant,