悪くありません, Elasticsearchでプラットフォームをセットアップしたら, LogstashとKibana, この最初の投稿では、Winlogbeatを使用してWindowsコンピューターのイベントビューアのイベントを分析します! 小さなエージェントをインストールし、決定したイベントをLogstashに送信して、Elasticsearchで処理および保存します, そして、それらをGrafanaで視覚化します!

プロセスは簡単です, まず、Winlogbeatをからダウンロードします https://www.elastic.co/downloads/beats/winlogbeat, それを解凍して , たとえば、 ‘ C:\プログラムファイルwinlogbeat'. 設定ファイル 'winlogbeat.yml を編集します’ 私たちのニーズに基づいて, とにかく'winlogbeat.full.yml’ 使用できるすべてのオプションと機能があります.

Winlogbeat の構成,

'winlogbeat.yml の最初のセクションで’ リダイレクトするイベントログとタイプを示すことができます, 私たちは私たちのニーズに基づいて構成します. アプリケーションはデフォルトで有効になっています, セキュリティ o システム, (英語で書かれています), 「Get-EventLog *’ 彼を捕まえました!

[ソースコード]winlogbeat.event_logs:
– 名前: アプリケーション
ignore_older: 72h
– 名前: 安全
レベル: 危うい, エラー, 警告
– 名前: 制
– 名前: Veeamエージェント[/ソースコード]

一般=====セクションでは、このコンピューターのWinlogbeatをさまざまなキーワードに関連付けることに興味がある場合に備えて、タグやフィールド=====追加できます, これにより、さまざまな検索で使用できるようになります, サーバーであるかどうかを示す方法, データベースまたは Web サーバーである, またはIISをお持ちの方, お使いのOS…

[ソースコード]タグ: [「ポータブル」, 「Windows 10」, 「OS-PO」-01"]
田畑:
globo_environment: 生産[/ソースコード]

[出力] セクション, Elasticsearchに直接データを送信する代わりに, 最初にLogstashで治療を受けます. したがって、正しいセクションでは、Logstashサーバーと使用するポートを示します (この例では、 5044), Elasticsearch出力にコメントすることを忘れないでください # そして、私たちはそのようなものを残しました:

[ソースコード]#——— Logstashの出力 ———
output.logstash(英語):
# Logstashのホスト
ホスト: [「DIRECCION_IP_LOGSTASH:5044"][/ソースコード]

問題が発生した場合、またはWinlogbeatに問題のデバッグ用のログを生成させたい場合は、有効にする必要があります:

[ソースコード]logging.to_files: 真
logging.files:
パス: C:\プログラムファイルwinlogbeatlogs
logging.level: 情報[/ソースコード]

Winlogbeatが構成されたら、その構成ファイルが適切に構成されているかどうかをテストできます, 管理者権限でPowerShellを開き、そのパスに移動します, 走る:

[ソースコード].\winlogbeat.exe test config -c .winlogbeat.yml -e[/ソースコード]

初めて、Elasticsearchで生成する必要があるフィールド形式でテンプレートをインポートする必要があります, 走る:

[ソースコード].\winlogbeat.exeのセットアップ –template -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=[「direccion_ip_elasticsearch:9200"]'[/ソースコード]

Logstashの設定,

先に進む前に, Logstashサーバーに移動します, また、LogstashがWinlogbeatのログを受け入れてElasticsearchに保存できるようにします. 「/etc/logstash/conf.d/beats.conf」という単一の設定ファイルを使用します’ Elasticsearchスイート内の他のBeats製品から受信したログを処理するため, そして、それぞれのインデックスを生成します, このようなものが私たちを助けます:

[ソースコード]インプット{
ビート{
ポート => "5044"
}
}

アウトプット{
エラスティックサーチ {
hosts=> [「DIRECCION_IP_ELASTICSEARCH:9200"]
インデックス => "%{[@metadata][叩く]}-%{+YYYY-MM-dd}"
document_type => "%{[@metadata][種類]}"
}
}[/ソースコード]

Logstashを再起動して、変更を有効にします:

[ソースコード]サービスLogstashの再起動[/ソースコード]

Windows チームに戻ります, WinlogbeatをサービスとしてWindowsにインストールすると、開始できます:

[ソースコード].\install-service-winlogbeat.ps1 → サービスとしてインストールする
サービス開始 winlogbeat[/ソースコード]

また、接続のステータスを確認したい場合は、実行できます:

[ソースコード]取得-コンテンツ.logswinlogbeat -待つ[/ソースコード]

Kibanaから,

悪くありません, 次に、Kibanaからこのインデックスのパターンを作成します, Kibanaを開きます, “管理” >” インデックスパターン” > “インデックスパターンの作成”, パターンとして「Winlogbeat-*’ そして、ウィザードに従います,

フィールドを選択します ‘@timestamp’ 時間フィルターとして使用するには, そして “インデックスパターンの作成”.

取得しているデータを確認するため, 私たちは、 “ディスカバー”, 新しく作成したパターンをWinlogbeatから選択しました, すべてがうまくいった場合, WindowsコンピューターはイベントをLogstashに送信し、LogstashはElasticsearchに送信します, リダイレクトしたすべてのイベントのログが保存されています!

視覚化するフィールドを追加できます, またはすべて… また、Lucene の構文による検索のフィルタリングも行います, チームのイベントを表示するには、「computer_name: “NOMBRE_EQUIPO_WINDOWS”‘, o 'レベル: “エラー”‘ Windowsエラーレベルのイベントをフィルタリングして表示します. タップすると、必要なデータを視覚化したいようにクエリを簡単に作成できることがわかります…

私たちが望むなら, Kibanaを使用すると、このデータの視覚化を作成し、グラフィカルな方法でキャプチャできます, 私たちが今見たものよりもはるかに直感的な何か, から “視覚化”!

テーブルタイプのビジュアライゼーションを作成できることがわかります, 領域, ヒートマップ, バー, 台詞, チーズ… だがしかし, 個人的には、Grafanaが次に見るものです. Kibanaを発見することをお勧めしないわけではありません, これは本当に爆発的です, 非常に簡単な方法で、好きなデータを表示できることがわかります.

Grafanaから,

このパートで見る内容, は、最初に Grafana から Elasticsearch へのコネクタを作成する方法です, 次に、最初のダッシュボードを作成し、Elasticsearchに保存しているデータを別のクールな方法で視覚化する方法.

私たちのGrafanaから, 私たちはに行くことができます “構成” > “データソース”, 接続に名前を付けます, URLには、ElasticsearchのhttpのURLを指定する必要があります://DIRECCION_IP_ELASTIC:9200’. 「winlogbeat-*’ インデックスの名前として使用する, 時間フィールドの@timestampフィールドを指定し、Elasticsearchバージョンを選択します, クリック “セーブ & 試験”,

そして、最初のダッシュボードを作成する時が来ました! その中で、パネルを作成しました, この場合、それは典型的なバーになります, ここでは、いくつかのマシンによって生成されたすべてのイベントを視覚化します. ElasticsearchでWinlogbeatインデックスに対してコネクタを選択します, また、ここから同じ Lucene クエリを使用して、関心のあるものを視覚化できます.

あ、まあ, 表示したいビジュアライゼーションのタイプを作成します, ここでは、最新の情報をご紹介します 24 私のチームの時間, あなたの情報イベント, 警告とエラーでマークされているもの, チーズとバーのディスプレイ, あなたは数秒であなたがあなたのものを作ることがわかります!!! おもしろいと思っていただけたでしょうか,