Elastic Stack 5 : Winlogbeat インストール2017/05/13

Windows のイベントログのデータ収集機能を提供する Winlogbeat をインストールします。

当例では以下のような構成で Windows Server 2016 側に Winlogbeat をインストールし、Elasticsearch ホスト側へログを転送するよう設定します。

+----------------------+          |          +----------------------+
|  [  dlp.srv.world  ] |10.0.0.30 | 10.0.0.70| [  fd3s.srv.world  ] |
|    Elasticsearch     +----------+----------+      Winlogbeat      |
|                      |                     |                      |
+----------------------+                     +----------------------+

[1]	対象の Windows ホストで以下の公式サイトより Winlogbeat をダウンロードします。 ⇒ https://www.elastic.co/jp/downloads/beats/winlogbeat
[2]	ダウンロード後、アーカイブファイルを展開し、任意のフォルダ名称に変更し、任意の場所へ配置します。当例では以下のように [C:\Program Files\winlogbeat] として配置して進めます。

[3]	Powershell を起動し、Winlogbeat をサービス登録します。 PS > cd "C:\Program Files\winlogbeat" PS > ./install-service-winlogbeat.ps1

[4]	設定ファイルを開いて編集します。 [C:\Program Files\winlogbeat\winlogbeat.yml]

# 20行目：収集するイベントログを指定する (以下はデフォルト)
winlogbeat.event_logs:
  - name: Application
    ignore_older: 72h
  - name: Security
  - name: System

.....
.....

# 47行目：出力先を指定する
# Logstash に出力する場合はコメントアウトして 57,59行目を有効にする
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["10.0.0.30:9200"]

.....
.....

#output.logstash:
  # The Logstash hosts
  #hosts: ["localhost:5044"]

[5]	設定完了後、Winlogbeat サービスを起動します。

[6]	Elasticsearch ホスト側でデータが取り込まれているか確認しておきます。

# index 一覧

[root ~]#

curl localhost:9200/_cat/indices?v

health status index                 uuid                   pri rep docs.count docs.deleted store.size pri.store.size
yellow open   sshd_fail-2017.05     owhoRGiwTWGdZaqKAMw66g   5   1        104            0    400.8kb        400.8kb
yellow open   heartbeat-2017.05.13  YZlmpM9FQKa3mLYjB2hybA   5   1       1320            0      849kb          849kb
yellow open   metricbeat-2017.05.13 fPuXG63yScKddvEfnGal8Q   5   1      51841            0       26mb           26mb
yellow open   filebeat-2017.05.13   AvanfxyiQzebNO4Y1ZUhYg   5   1         19            0     33.5kb         33.5kb
yellow open   .kibana               FGjE6bGUTlioELtM_QynMQ   1   1        222           23    356.5kb        356.5kb
yellow open   packetbeat-2017.05.13 lghVPcOsSbCQF0jXVo3iRA   5   1      10986            0      5.8mb          5.8mb
yellow open   winlogbeat-2017.05.12 XbL8prmiQruOHCCDaEIY6Q   5   1        659            0      1.3mb          1.3mb

# indexのドキュメント一覧

[root ~]#

curl localhost:9200/winlogbeat-2017.05.12/_search?pretty

{
  "took" : 4,
  "timed_out" : false,
  "_shards" : {
    "total" : 5,
    "successful" : 5,
    "failed" : 0
  },
  "hits" : {
    "total" : 659,
    "max_score" : 1.0,
    "hits" : [
      {
        "_index" : "winlogbeat-2017.05.12",
        "_type" : "wineventlog",

.....
.....

[7]	Kibana を稼働させている場合は、ダッシュボードへのインポートスクリプトが用意されています。 PS > cd "C:\Program Files\winlogbeat" PS > ./import_dashboards.exe -es (Elasticsearchホスト)