Winlogbeat
Winlogbeat -отправляет журналы событий Windows в Elasticsearch или Logstash. Вы можете установить его как службу Windows.
Winlogbeat считывает один или несколько журналов событий с помощью Windows API, фильтрует события на основе настроенных пользователем критериев, затем отправляет данные о событиях на настроенные выходные данные (Elasticsearch или Logstash). Winlogbeat отслеживает события ведет журналы, чтобы своевременно отправлять новые данные о событиях. Позиция чтения для каждого журнала событий сохраняется на диске, чтобы Winlogbeat мог возобновить работу после перезапуска.
Winlogbeat может фиксировать данные о событиях из любых журналов событий, запущенных в вашей системе. Например, вы можете фиксировать такие события, как:
- события приложения
- аппаратные события
- события безопасности
- системные события
Отправка событий с помощью Winlogbeat
Для настройки сбора с Winlogbeat необходимо выполнить настройку HTTP коллектора
Дополнительные настройки Winlogbeat можно найти в документации
Открыть файл winlogbeat.yaml
с помощью nano и заполнить следующим образом:
winlogbeat.event_logs:
- name: Application
ignore_older: 72h
- name: System
- name: Security
- name: Windows PowerShell
event_id: 400, 403, 600, 800
- name: Microsoft-Windows-PowerShell/Operational
event_id: 4103, 4104, 4105, 4106
- name: ForwardedEvents
tags: [forwarded]
output.elasticsearch:
hosts: ["ip-komrad:9200"]
pipeline: "winlogbeat-%{[agent.version]}-routing"
Сохранить файл (Ctrl+O, Ctrl+X)