1. Faça o download do arquivo zip da instação do WinLogBeat;
2. Descompacte o arquivo Zip e coloque-o na pasta C:program fileswinlogbeat
3. Para instalar, execute o comando abaixo via PowerShell com permissão de administrador:
PowerShell.exe -ExecutionPolicy UnRestricted -File .install-service-winlogbeat.ps1
O comando acima será executado e o usuário será informado que o serviço está parado (Status: Stopped).
4. Edite o arquivo winlogbeat.yml que pode ser encontrado na pasta C:program fileswinlogbeatwinlogbeat.yml para adicionar o endereço do servidor do elasticsearch que irá receber os dados dos logs enviados pelo WinLogBeat:
output.elasticsearch:
hosts: [“endereco_ip_do_elasticsearch:9200"]
4.1 Caso você não vá enviar os dados diretamente para o elasticsearch, é necessário configurar o LogStash (adicionando o endereço do servidor e a parta do logstash) e depois desabilitar as configurações do ElasticSearch:
# ------------------------------ Logstash Output -------------------------------
output.logstash:
# The Logstash hosts
hosts: ["endereco_ip_do_logstash:9200"]
# Optional SSL. By default is off.
# List of root certificates for HTTPS server verifications
#ssl.certificate_authorities: ["/etc/pki/root/ca.pem"]
# Certificate for SSL client authentication
#ssl.certificate: "/etc/pki/client/cert.pem"
# Client Certificate Key
#ssl.key: "/etc/pki/client/cert.key"
# ---------------------------- Elasticsearch Output ----------------------------
# output.elasticsearch:
# Array of hosts to connect to.
# hosts: ["localhost:9200"]
# Protocol - either `http` (default) or `https`.
# protocol: "https"
# Authentication credentials - either API key or username/password.
# api_key: "id:api_key"
# username: "elastic"
# password: "changeme"
# Pipeline to route events to security, sysmon, or powershell pipelines.
# pipeline: "winlogbeat-%{[agent.version]}-routing"
Se os dados vão ser enviados para o Logstash e não diretamente para o ElasticSearch, não se esqueça de deixar comentado a parte da configuração do índice do ElasticSearch, para que não receba a mensagem de erro “Exiting: index management requested but the Elasticsearch output is not configured/enabled”.
# ====================== Elasticsearch template settings =======================
# setup.template.settings:
# index.number_of_shards: 0
# index.codec: best_compression
# _source.enabled: false
5. Para testar a configuração realizada, execute o comando abaixo:
.winlogbeat.exe test config
6. Execute o comando abaixo para criar o índice do Winlogbeat e para carregar os dashboards:
.winlogbeat.exe setup
7. Inicie o serviço do Winlogbeat:
# Iniciar o serviço do WinLogBeat
Start-Service winlogbeat
7.1 Caso deseje parar o serviço ou descobrir o status atual, execute os comandos abaixo respectivamente.
# Parar o serviço do WinLogBeat
Stop-Service winlogbeat
# Obter o status do serviço do WinLogBeat
Get-Service winlogbeat
8. No Kibana, faça o teste para verificar se você está recebendo os dados.