Umleiten Ereignisse der Ereignisanzeige von Windows zu Elasticsearch Geräten mit Winlogbeat und Visualisierung mit Grafana

Hector Herrero / Blog, Nagios / Elasticsearch, Ereignisanzeige, Geschehen, Eventviewer, Grafana, Kibana, Logstash, Parsear, Geschehen, behandeln, Visier, Ereignisanzeige, Ereignisanzeige, Windows, Winlogbeat /

26 von März von 2019

gut, einmal haben wir bereits unsere Plattform mit Elasticsearch montiert, Logstash und Kibana, wir werden in diesem ersten Beitrag die Ereignisanzeige Ereignisse unserer Windows-Computer analysieren Winlogbeat mit! Wir haben den Agenten installieren und kleine Ereignisse senden, die sie sich entscheiden, Logstash zu behandeln und lagern in Elasticsearch, und anschließend visualisieren mit Grafana!

Der Prozess wird einfach sein, zuerst entladen Winlogbeat von https://www.elastic.co/downloads/beats/winlogbeat, wir entspannt und , zum Beispiel lassen wir in ‚ C:\Program Files\winlogbeat\‘. Wir werden die Konfigurationsdatei bearbeiten ‚winlogbeat.yml‘ basierend auf unsere Bedürfnisse, sowieso drin ‚winlogbeat.full.yml‘ wir haben alle Optionen und Funktionen, die wir verwenden können,.

Configurando Winlogbeat,

Im ersten Abschnitt von ‚winlogbeat.yml‘ wir können die Ereignisprotokolle zeigen, und was wir umleiten möchten, Wir konfiguriert auf unser Bedürfnis basiert. Kommen Sie standardmäßig aktiviert Anwendung, Sicherheit o System, (in Englisch geschrieben), um zu sehen, welche uns gehören, haben wir von einer Powershell-Ausführung ‚Get-EventLog *‘ wir haben!

winlogbeat.event_logs:
  - name: Application
    ignore_older: 72h
  - name: Security
    level: critical, error, warning
  - name: System
  - name: Veeam Agent

Im Abschnitt Allgemein ===== ===== können wir zusätzliche Tags oder Felder hinzufügen, wenn wir dieses Team Winlogbeat zu verschiedenen Keywords zu assoziieren sind interessiert, dann verschiedene Suche zu verwenden, und zeigen an, ob ein Server, Es ist ein Web-Server oder BBDD, oder Sie haben IIS, SO…

tags: ["Portatil", "Windows 10", "OS-PO-01"]
fields:
  globo_environment: Produccion

Im Abschnitt Ausgabe, statt dem Senden von Daten direkt Elasticsearch, der Durchgang durch Logstash zunächst behandelt werden,. So in der richtigen Abschnitt zeigen wir den Server und den Port Logstash wir verwenden möchten (in diesem Beispiel der 5044), erinnern an die Ausgabe von Elasticsearch Kommentierung mit # und lassen Sie etwas:

#--------- Logstash output ---------
output.logstash:
  # The Logstash hosts
  hosts: ["DIRECCION_IP_LOGSTASH:5044"]

Wenn Sie Probleme haben oder Winlogbeat wollen einen Protokolldatensatz für das Debuggen Probleme erzeugen wir haben:

logging.to_files: true
logging.files:
  path: C:\Program Files\winlogbeat\logs
logging.level: info

Nach der Konfiguration kann Winlogbeat testen, ob wir Ihre Konfigurationsdatei korrekt eingerichtet, Öffnen Sie eine Powershell mit Administratorrechten und lassen Sie Ihren Weg, Lauf:

.\winlogbeat.exe test config -c .\winlogbeat.yml -e

Das erste Mal, importieren wir die Schablonenfelder mit dem Format in unserer Elasticsearch erzeugen soll, Lauf:

.\winlogbeat.exe setup --template -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["direccion_ip_elasticsearch:9200"]'

Einstellen Logstash,

bevor Sie fortfahren, wir werden an den Server gehen Logstash, und wir können Logstash Winlogbeat Protokolle akzeptieren und speichern sie in Elasticsearch. Wir verwenden eine einzelne Konfigurationsdatei namens ‚/etc/logstash/conf.d/beats.conf‘ die Protokolle erhalten andere Produkte Beats den Anzug von Elasticsearch zu behandeln, und wir werden einen Index für jede erzeugen, so etwas wie dies wird uns helfen,:

input{
  beats{
        port => "5044"
  }
}

output{
  elasticsearch {
        hosts => ["DIRECCION_IP_ELASTICSEARCH:9200"]
        index => "%{[@metadata][beat]}-%{+YYYY-MM-dd}"
        document_type => "%{[@metadata][type]}"
  }
}

Logstash reinitiated für die Änderungen srurjan Wirkung:

service logstash restart

Wir kehren zu unserem Windows-, Winlogbeat als Dienst auf unserer Windows-begleichen und jetzt können wir anfangen:

.\install-service-winlogbeat.ps1 → Instalar como Servicio
 Start-Service winlogbeat

und wenn wir den Verbindungsstatus sehen wir laufen:

Get-Content .\logs\winlogbeat -Wait

von Kibana,

gut, Jetzt von Kibana erstellen Sie das Muster für diesen Index, offen Kibana, „Management“ >“ Index Patterns“ > „Index erstellen Pattern“, wir geben als Muster an ‚winlogbeat-*‘ und weiterhin die Assistenten,

Wählen Sie das Feld ‚@timestamp‘ für die Verwendung als Filterzeit, und „Erstellen Indexmuster“.

Um die Daten, die wir erhalten haben,, lassen Sie uns „Entdecken“, Wählen Sie das neu erstellte Muster Winlogbeat, Wenn alles wie ging es sollte, unsere Windows-Computer werden die Ereignisse in Logstash und dies in Elasticsearch das Senden, wir die Aufzeichnungen aller Ereignisse gespeichert wir umgeleitet!

Wir können die Felder werden hinzugefügt, die wir visualisieren möchten, jeder… sowie Herstellung Suchfilter mit der Syntax von Lucene, um die Ereignisse eines Teams so etwas zu sehen ‚Computername: „NOMBRE_EQUIPO_WINDOWS“‚, die ‚Niveau: „Error“‚ wir werden filtern und Ereignisse aus der Windows-Fehlerebene Anzeige. Fiddling werden sehen, dass Sie einfach Anfragen als Zinsen machen können Sie die Daten, die Sie anzeigen möchten…

Wenn wir wollen,, mit Kibana können wir Visualisierungen dieser Daten erstellen und diese in einer grafischen Weise übersetzen, etwas viel intuitiver als das, was wir gerade gesehen haben, von „visualisieren“!

Wir werden sehen, dass wir Visualisierungen Typ Tabellen erstellen, Bereiche, Heatmaps, Barren, Linien, Fragen… aber, persönlich Ich mag ist Grafana, was wir weiter unten sehen werden. Nein, ich meine es nicht Sie ermutigen Kibana zu entdecken, was es ist eine Explosion, Sie werden sehen, dass sehr leicht alle Daten anzeigen können, die Sie bitte.

desde Grafana,

Was wir in diesem Teil sehen, Es ist, wie man zunächst einen Verbinder Grafana zu erstellen, um Elasticsearch, dann, wie unser erstes Dashboards und Visualisierung der Daten wir speichern in Elasticsearch auf eine andere Art und Molona erstellen.

Von unserem Grafana, wir können gehen „Konfiguration“ > „Datenquellen“, einen Namen für die Verbindung angeben,, in der URL müssen wir die URL unserer Elasticsearch angeben ‚http://DIRECCION_IP_ELASTIC:9200‘. wählen ‚winlogbeat-*‘ für die Verwendung als Name für Indizes, @timestamp Feld das Zeitfeld, um anzuzeigen, und wählen Sie die Version von Elasticsearch, klicken Sie auf „sparen & Prüfung“,

Und es ist Zeit, unsere erste Dashboard zu erstellen! Innerhalb es ein Panel erstellt, in diesem Fall wird es die typische bar, wo wir alle Ereignisse visualisieren, die ein paar Maschinen erzeugen. Wir wählen unsere Stecker gegen Winlogbeat Raten in Elasticsearch, und wir können die gleichen Abfragen verwenden hier Lucene zu visualisieren, was uns interessiert.

gut, Wir schaffen die Arten von Displays, die uns interessiert sehen, Hier ist die neueste 24 Stunden meines Computers, Informationsveranstaltungen, diejenigen, die Warnung und markiert mit Fehlern, Visualisierung des Dreiecks und Bars, Sie werden sehen, dass in wenigen Sekunden erhalten Sie Ihr werden wird!!! Ich hoffe, es war von Interesse,

empfohlene Beiträge:

Über
Letzte Artikel

Hector Herrero

Blog-Autor Bujarra.com
Alle müssen Sie haben, zögern Sie nicht, mich zu kontaktieren, Ich versuche zu helfen, wann immer Sie können, Teilen ist Leben 😉 . genießen Sie Dokumente!!!

Letzte Artikel von Hector Herrero (Alle anzeigen)

JumpServer - 17 von Oktober von 2023
CrowdSec-Konsole - 10 von Oktober von 2023
Gophisch – Ethisches Phishing in unserem Unternehmen - 3 von Oktober von 2023