Winlogbeat: Instalação e configuração

Publicidade

1. Faça o download do arquivo zip da instação do WinLogBeat;

2. Descompacte o arquivo Zip e coloque-o na pasta C:\program files\winlogbeat

3. Para instalar, execute o comando abaixo via PowerShell com permissão de administrador:


PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-winlogbeat.ps1

O comando acima será executado e o usuário será informado que o serviço está parado (Status: Stopped).

4. Edite o arquivo winlogbeat.yml que pode ser encontrado na pasta C:\program files\winlogbeat\winlogbeat.yml para adicionar o endereço do servidor do elasticsearch que irá receber os dados dos logs enviados pelo WinLogBeat:


output.elasticsearch:
 hosts: [“endereco_ip_do_elasticsearch:9200"]

4.1 Caso você não vá enviar os dados diretamente para o elasticsearch, é necessário configurar o LogStash (adicionando o endereço do servidor e a parta do logstash) e depois desabilitar as configurações do ElasticSearch:


# ------------------------------ Logstash Output -------------------------------
output.logstash:
  
  # The Logstash hosts
  hosts: ["endereco_ip_do_logstash:9200"]

  # Optional SSL. By default is off.
  # List of root certificates for HTTPS server verifications
  #ssl.certificate_authorities: ["/etc/pki/root/ca.pem"]

  # Certificate for SSL client authentication
  #ssl.certificate: "/etc/pki/client/cert.pem"

  # Client Certificate Key
  #ssl.key: "/etc/pki/client/cert.key"


# ---------------------------- Elasticsearch Output ----------------------------
# output.elasticsearch:

  # Array of hosts to connect to.
  # hosts: ["localhost:9200"]

  # Protocol - either `http` (default) or `https`.
  # protocol: "https"

  # Authentication credentials - either API key or username/password.
  # api_key: "id:api_key"
  # username: "elastic"
  # password: "changeme"

  # Pipeline to route events to security, sysmon, or powershell pipelines.
  # pipeline: "winlogbeat-%{[agent.version]}-routing"

Se os dados vão ser enviados para o Logstash e não diretamente para o ElasticSearch, não se esqueça de deixar comentado a parte da configuração do índice do ElasticSearch, para que não receba a mensagem de erro "Exiting: index management requested but the Elasticsearch output is not configured/enabled".


# ====================== Elasticsearch template settings =======================

# setup.template.settings:
  # index.number_of_shards: 0
  # index.codec: best_compression
  # _source.enabled: false

5. Para testar a configuração realizada, execute o comando abaixo:


 .\winlogbeat.exe test config

6. Execute o comando abaixo para criar o índice do Winlogbeat e para carregar os dashboards:


.\winlogbeat.exe setup

7. Inicie o serviço do Winlogbeat:


# Iniciar o serviço do WinLogBeat
Start-Service winlogbeat

7.1 Caso deseje parar o serviço ou descobrir o status atual, execute os comandos abaixo respectivamente.


# Parar o serviço do WinLogBeat
Stop-Service winlogbeat

# Obter o status do serviço do WinLogBeat
Get-Service winlogbeat

8. No Kibana, faça o teste para verificar se você está recebendo os dados.

Referência:

Winlogbeat: Instalação e configuração
elasticsearch
novembro 04, 2022
0

Comentários

Menu

Pesquisar

Últimos Comentários

Fale Comigo