Elastic Stack 6 : Winlogbeat インストール2018/02/12 |
|
Windows のイベントログのデータ収集機能を提供する Winlogbeat をインストールします。
当例では以下のような構成で Windows Server 2016 側に Winlogbeat をインストールし、Elasticsearch
ホスト側へログを転送するよう設定します。
+----------------------+ | +----------------------+ | [ dlp.srv.world ] |10.0.0.30 | 10.0.0.100| [ fd3s.srv.world ] | | Elasticsearch +----------+-----------+ Winlogbeat | | | | | +----------------------+ +----------------------+ |
| [1] | 対象の Windows ホストで以下の公式サイトより Winlogbeat をダウンロードします。⇒ https://www.elastic.co/jp/downloads/beats/winlogbeat |
| [2] | ダウンロード後、アーカイブファイルを展開し、任意のフォルダ名称に変更し、任意の場所へ配置します。 当例では以下のように [C:\Program Files\winlogbeat] として配置して進めます。 |
|
| [3] | Powershell を起動し、Winlogbeat をサービス登録します。 PS > cd "C:\Program Files\winlogbeat" PS > ./install-service-winlogbeat.ps1 |
|
| [4] | 設定ファイルを開いて編集します。 [C:\Program Files\winlogbeat\winlogbeat.yml] |
# 20行目:収集するイベントログを指定する (以下はデフォルト)
winlogbeat.event_logs:
- name: Application
ignore_older: 72h
- name: Security
- name: System
.....
.....
# 65行目:Kibana を使用する場合はコメント解除して出力先を指定
# Kibana で SSL 有効の場合は証明書に登録したホスト名と合わせる
setup.kibana:
.....
host: https://dlp.srv.world:5601
.....
.....
# 91行目:出力先を指定する
# Logstash に出力する場合はコメントアウトして output.logstash 行関連を有効にする
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["dlp.srv.world:9200"]
.....
.....
#output.logstash:
# The Logstash hosts
#hosts: ["localhost:5044"]
|
| [5] | 設定完了後、Winlogbeat サービスを起動します。 |
|
| [6] | Elasticsearch ホスト側でデータが取り込まれているか確認しておきます。 |
|
# index 一覧 [root ~]# curl localhost:9200/_cat/indices?v health status index uuid pri rep docs.count docs.deleted store.size pri.store.size yellow open filebeat-6.2.1-2018.02.14 uzqg8... 3 1 30107 0 4mb 4mb yellow open sshd_fail-2018.02 ghhQe... 5 1 71 0 282.4kb 282.4kb yellow open packetbeat-6.2.1-2018.02.14 -O8vG... 3 1 11613 0 4.9mb 4.9mb green open .kibana sV0Ds... 1 0 412 0 496.3kb 496.3kb yellow open auditbeat-6.2.1-2018.02.14 aECFl... 3 1 1384 0 736.3kb 736.3kb yellow open winlogbeat-6.2.1-2018.02.14 7440J... 3 1 936 0 1mb 1mb yellow open test_index CIPjY... 5 1 1 0 6kb 6kb yellow open heartbeat-6.2.1-2018.02.14 29OqT... 1 1 428 0 264.9kb 264.9kb yellow open winlogbeat-6.2.1-2016.12.22 TU_OU... 3 1 128 0 196kb 196kb yellow open metricbeat-6.2.1-2018.02.14 OhrZT... 1 1 35453 0 12.7mb 12.7mb # indexのドキュメント一覧 [root ~]# curl localhost:9200/winlogbeat-6.2.1-2016.12.22/_search?pretty
{
"took" : 98,
"timed_out" : false,
"_shards" : {
"total" : 3,
"successful" : 3,
"skipped" : 0,
"failed" : 0
},
"hits" : {
"total" : 128,
"max_score" : 1.0,
"hits" : [
{
"_index" : "winlogbeat-6.2.1-2016.12.22",
"_type" : "doc",
.....
.....
|
| [7] | Kibana を稼働させている場合は、サンプルダッシュボードへのデータインポートが可能です。 PS > cd "C:\Program Files\winlogbeat" PS > ./winlogbeat setup --dashboards |
|
|
|
関連コンテンツ