Elastic Stack 7 : Winlogbeat インストール2019/06/17

Windows のイベントログのデータ収集機能を提供する Winlogbeat をインストールします。

当例では以下のような構成で Windows Server 2019 側に Winlogbeat をインストールし、Elasticsearch ホスト側へログを転送するよう設定します。

+----------------------+          |           +----------------------+
|  [  dlp.srv.world  ] |10.0.0.30 | 10.0.0.100| [  fd3s.srv.world  ] |
|    Elasticsearch     +----------+-----------+      Winlogbeat      |
|                      |                      |                      |
+----------------------+                      +----------------------+

[1]	対象の Windows ホストで以下の公式サイトより Winlogbeat をダウンロードします。 ⇒ https://www.elastic.co/jp/downloads/beats/winlogbeat
[2]	ダウンロード後、アーカイブファイルを展開し、任意のフォルダ名称に変更し、任意の場所へ配置します。当例では以下のように [C:\Program Files\winlogbeat] として配置して進めます。

[3]	Powershell を起動し、Winlogbeat をサービス登録します。 PS > cd "C:\Program Files\winlogbeat" PS > ./install-service-winlogbeat.ps1

[4]	設定ファイルを開いて編集します。 [C:\Program Files\winlogbeat\winlogbeat.yml]

# 20行目：収集するイベントログを指定する (以下はデフォルト)
winlogbeat.event_logs:
  - name: Application
    ignore_older: 72h
  - name: Security
  - name: System

.....
.....

# 65行目：Kibana を使用する場合はコメント解除して出力先を指定
# Kibana で SSL 有効の場合は証明書に登録したホスト名と合わせる
setup.kibana:
.....
  host: https://dlp.srv.world:5601

.....
.....

# 91行目：出力先を指定する
# Logstash に出力する場合はコメントアウトして output.logstash 行関連を有効にする
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["dlp.srv.world:9200"]

.....
.....

#output.logstash:
  # The Logstash hosts
  #hosts: ["localhost:5044"]

[5]	設定完了後、Winlogbeat サービスを起動します。

[6]	Elasticsearch ホスト側でデータが取り込まれているか確認しておきます。

# index 一覧

[root@dlp ~]#

curl localhost:9200/_cat/indices?v

health status index                              uuid                   pri rep docs.count docs.deleted store.size pri.store.size
green  open   .kibana_task_manager               vxyGU_agTXyFTLac6lDMYg   1   1          2            0     25.6kb         12.8kb
green  open   metricbeat-7.1.1-2019.06.18-000001 cXFRA4p3SaO_Jaahxxx-hw   1   1       3802            0      5.3mb          2.7mb
green  open   winlogbeat-7.1.1-2019.06.18-000001 9mTTgj-TQa2BqFP2e9CGvQ   1   1       1310            0      2.5mb          1.3mb
green  open   .kibana_1                          hF7j0i5iRRSa9hAebihkfg   1   1        904           25      1.4mb        727.3kb
green  open   sshd_fail-2019.06                  Mu9wxqZPTkK2X9biuvGP1g   1   1         34            0     80.9kb         40.4kb
green  open   packetbeat-7.1.1-2019.06.18-000001 1uSGzcBjQXO4VlTOKqtNSA   1   1       5914            0      7.7mb          3.9mb

# indexのドキュメント一覧

[root@dlp ~]#

curl localhost:9200/winlogbeat-7.1.1-2019.06.18-000001/_search?pretty

{
  "took" : 39,
  "timed_out" : false,
  "_shards" : {
    "total" : 1,
    "successful" : 1,
    "skipped" : 0,
    "failed" : 0
  },
  "hits" : {
    "total" : {
      "value" : 1310,
      "relation" : "eq"
    },
    "max_score" : 1.0,
    "hits" : [
      {
        "_index" : "winlogbeat-7.1.1-2019.06.18-000001",
        "_type" : "_doc",
        "_id" : "EGVHaGsBLudYHUk6c4z0",
        "_score" : 1.0,
        "_source" : {
          "@timestamp" : "2019-04-09T05:40:20.497Z",
          "winlog" : {
            "provider_guid" : "{555908d1-a6d7-4695-8e1e-26931d2012f4}",
            "api" : "wineventlog",
            "user" : {
              "type" : "User",
              "identifier" : "S-1-5-18",
              "name" : "SYSTEM",
              "domain" : "NT AUTHORITY"
            },

.....
.....

[7]	Kibana を稼働させている場合は、サンプルダッシュボードへのデータインポートが可能です。 PS > cd "C:\Program Files\winlogbeat" PS > ./winlogbeat setup --dashboards