Un post bastante rapidito que creo que nos puede interesar a muchos, y no es algo más común que poder monitorizar cualquier evento del Visor de Eventos de Windows. ¿Os imagináis vigilando los eventos de los controladores de dominio?
Algo muy común que nos suelen pedir es la posibilidad de conocer los logons y demás información interesante que pueda generar un usuario. En este post veremos cómo visualizar datos tan interesantes como: cuándo se han logueado, cuándo han cerrado la sesión, intentos de inicio de sesión incorrectos, cuándo se ha bloqueado un equipo, o desbloqueado, o cuándo le ha saltado el salvapantallas o lo han desactivado…
Bien, una vez tenemos ya montada nuestra plataforma con Elasticsearch, Logstash y Kibana, vamos en este primer post a analizar los eventos del Visor de Sucesos de nuestros equipos Windows mediante Winlogbeat! Instalaremos el pequeño agente y enviaremos los eventos que decidamos a Logstash para tratarlos y almacenarlos en Elasticsearch, y posteriormente los visualizaremos con Grafana!