Ondo, Plataforma gurea Elasticsearch-ekin altxatuta dugunean, Logstash eta Kibana, Lehen post honetan Winlogbeat erabiliz gure Windows taldeetako Kokapen Ikusleen ekitaldiak aztertuko ditugu! Agente txikia instalatuko dugu eta nahi ditugun ekitaldiak Logstash-era bidaliko ditugu, tratatzeko eta Elasticsearch-en gordetzeko, eta ondoren Grafana-rekin bistaratuko ditugu!

El proceso será sencillo, primeramente descargaremos Winlogbeat de https://www.elastic.co/downloads/beats/winlogbeat, lo descomprimimos y , por ejemplo lo dejamos en ‘ C:\Program Files\winlogbeat\’. Editaremos el fichero de configuración ‘winlogbeat.yml’ en base a nuestras necesidades, de todas formas en ‘winlogbeat.full.yml’ tenemos todas las opciones y características que podremos utilizar.

Configurando Winlogbeat,

En la primera sección de ‘winlogbeat.yml’ podremos indicar qué Registros de eventos y qué tipo queremos redireccionar, configuramos en base a nuestra necesidad. Vienen por defecto habilitados Application, Security o System, (escritos en inglés), para ver cuales son nuestros tenemos desde una Powershell ejecutando ‘Get-EventLog *’ lo tenemos!

[sourcecode]winlogbeat.event_logs:
– name: Application
ignore_older: 72h
– name: Security
maila: critical, errorea, kontuz
– name: System
– name: Veeam Agent[/sourcecode]

===== Orokorra ===== ataleko, tag edo eremu osagarriak gehitu ahal izango ditugu, gure taldeko Winlogbeata hitz gako desberdinekin lotu nahi badugu, geroago hainbat bilaketatan erabiltzeko, nola adierazi zer den Servidor bat, BBDD zerbitzari bat edo web zerbitzari bat den, edo IIS duen, bere SO…

[sourcecode]tags: ["Portatil", "Windows 10", "OS-PO-01"]
eremuak:
globo_environment: Produccion[/sourcecode]

Output atalean, datuak zuzenean Elasticsearch-era bidali beharrean, lehenengo Logstash bidez igoko ditugu tratatu daitezen. Beraz, atalean zuzenean Logstash zerbitzaria eta erabiliko dugun ataka adierazten ditugu (en este ejemplo el 5044), Elasticsearch Output komentatzeko gogoratu # eta horrela uzten dugu:

[sourcecode]#——— Logstash output ———
output.logstash:
# The Logstash hosts
hosts: ["DIRECCION_IP_LOGSTASH:5044"][/sourcecode]

Arazoak baditugu edo Winlogbeat-ek debug egiteko log bat sortzea nahi badugu, gaitu beharko dugu:

[sourcecode]logging.to_files: true
logging.files:
path: C:\Program Files\winlogbeat\logs
logging.level: info[/sourcecode]

Winlogbeat konfiguratu ondoren, bere konfigurazio fitxategia ondo konfiguratuta dugun ikus dezakegu, administratzaile baimenak dituen PowerShell bat ireki eta bere path-era joan, ejecutamos:

[sourcecode].\winlogbeat.exe test config -c .\winlogbeat.yml -e[/sourcecode]

Lehen aldiz, Kokapen fitxategian Elasticsearch-en sortu beharreko eremu formatua duen plantilla inportatu beharko dugu, ejecutamos:

[sourcecode].\winlogbeat.exe setup –template -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["direccion_ip_elasticsearch:9200"]'[/sourcecode]

Configurando Logstash,

Jarraitzean aurretik, Logstash zerbitzarira joango gara, eta Logstash-ek Winlogbeat-etik datozen log-ak onartzea eta Elasticsearch-en gordetzea ahalbidetuko dugu. '/etc/logstash/conf.d/beats.conf' izeneko konfigurazio fitxategi bakarra erabiliko dugu’ beste Elasticsearch Suite-ko Beats produktuetatik jasotzen ditugun log-ak tratatzeko, eta bakoitzarengatik indize bat sortuko digu, algo como esto nos ayudará:

[sourcecode]input{
beats{
port => "5044"
}
}

irteera{
elasticsearch {
hosts => ["DIRECCION_IP_ELASTICSEARCH:9200"]
index => "%{[@metadata][beat]}-%{+YYYY-MM-dd}"
document_type => "%{[@metadata][type]}"
}
}[/sourcecode]

Logstash berrabiarazten dugu aldaketak indarrean sartzeko:

[sourcecode]service logstash restart[/sourcecode]

Gure Windows ordenagailura itzultzen gara, Winlogbeat gure Windows-ean zerbitzu gisa instalatu eta martxan jar dezakegu:

[sourcecode].\install-service-winlogbeat.ps1 → Zerbitzu gisa Instalatu
Start-Service winlogbeat[/sourcecode]

eta konexioaren egoera ikusi nahi badugu exekuta dezakegu:

[sourcecode]Get-Content .\logs\winlogbeat -Wait[/sourcecode]

Desde Kibana,

Ondo, orain Kibana-tik indize honen ereduaren sortuko dugu, Kibana irekitzen dugu, “Management” >” Index Patterns” > “Create Index Pattern”, 'winlogbeat-*' eredu gisa adierazten dugu’ eta laguntzailea jarraitzen dugu,

Eremua hautatzen dugu ‘@timestamp’ denbora-iragazki gisa erabiltzeko, eta “Create index pattern”.

Para ver los datos que hemos ido obteniendo, vamos a “Discover”, seleccionamos el patrón recién creado de Winlogbeat, si todo ha ido como debe, nuestros equipos Windows le estarán mandando los eventos a Logstash y éste a Elasticsearch, tendremos almacenados los registros de todos los eventos que hemos redirigido!

Podremos ir agregando los campos que queremos visualizar, o todos… así como hacer filtros de búsquedas con la sintaxis de Lucene, para ver los eventos de un equipo algo como 'computer_name: “NOMBRE_EQUIPO_WINDOWS”‘, o 'level: “errorea”‘ nos filtrará y mostrará los eventos de los Windows de level Error. Toqueteando podrás ver que sencillamente podrás hacer consultas como te interesen para visualizar los datos que quieras…

Si queremos, Kibanarekin datu hauek bisualizazioak sortu ahal izango ditugu eta modu grafiko batean islatuko ditugu, askoz intuitiboagoa dugun horretatik ikusi berri duguna baino, etik “Visualize”!

Ikusiko dugu taula motako bisualizazioak sor ditzakegula, eremuak, berotze-mapak, barrak, lerroak, quesitos… Baina, nik pertsonalki gehien gustatzen zaidana Grafana da, hurrengoan hori ikusiko dugu. Hori esatea ez dut nahi Kibana ezagutzera ez animatzeko, benetako harribitxia dela, ikusiko duzu oso modu errazean nahi dituzun datuak ikus ditzakezula.

Desde Grafana,

Parte honetan ikusiko duguna, da nola hasieran Grafana-ko konektore bat sortu Elasticsearch-era, ondoren nola sortu gure Lehen Dashboard-a eta ikus ditzakegun datuak Elasticsearch-en modu desberdinean eta polita batean.

Gure Grafana-tik, joan ahal izango gara “Configuración” > “Data Sources”, konexioari izen bat emango diogu, URL-an gure Elasticsearch 'http' URL-a adierazi behar dugu://ELASTIKO_IP_HELBIDEA:9200’. 'winlogbeat-*' hautatzen dugu’ indizeen izen gisa erabiltzeko, denborako eremuari dagokionez @timestamp eremua adierazten dugu eta Elasticsearch-en bertsioa hautatzen dugu, sustatu “Gorde & Test”,

Eta ordua da gure lehen Dashboard-a sortzeko! Bertan Panel bat sortzen dugu, kasu honetan barra tipikoko bat izango da, non guztiak ikusi ahal izango ditugun ekitaldiak bi makinak sortzen dituzten. Gure konektorea hautatzen dugu Winlogbeat indizeen kontra Elasticsearch-en, eta hemen Lucene kontsulta berak erabil ditzakegu nahi duguna bistaratzeko.

Y bueno, ikus nahi ditugun bistaratze motak sortuko ditugu, aquí vemos las últimas 24 horas de mis equipos, Informazioaren ekitaldiak, Abisuak direnak eta Akatsekin markatutak, Kexu eta barra bisualizazioa, Segundu gutxitan zuenak izango dituzuela ikusiko duzue!!! Espero dut interesgarria izan dela,