未加星标

我的ELK搭建笔记(Windows 日志收集)

字体大小 | |
[web安全 所属分类 web安全 | 发布者 店小二04 | 时间 2017 | 作者 红领巾 ] 0人收藏点击收藏

我的ELK搭建笔记(Windows 日志收集)

我的ELK搭建笔记

------------------------------------

windows 日志收集)

目录预览

1、需求说明

2、Winlogbeat工具介绍

3、安装部署

3.1 下载

3.2 配置

3.3 安装

3.4 启动

4、验证

5、性能

6、维护

7、Troubleshooting

一,需求说明

收集和存储Windows AD服务器关键系统日志,应对安全审计要求。 基于Windows账户登录日志进行安全事件分析。

二,Winlogbeat工具介绍

Elasticsearch官方提供的轻量级Windows事件日志转发代理。

日志数据流:Winlogbeat ---> Logstash ---> Elasticsearch

采取这样的部署方式是基于如下考虑:

Windows 服务器部署后就不需要再做任何变更了(毕竟是线上AD服务器,隔三差五去动配置要掉脑袋的!) 如果对默认 Window 日志映射不满意,可以在 logstash 上重新调整

三,安装部署

3.1 下载

官方地址:https://www.elastic.co/downloads/beats/winlogbeat

下载Winlogbeat压缩包,解压后部署在Windows Server 2008 R2服务器的目录。程序主目录【C:\Program Files\winlogbeat\】,效果如下:


我的ELK搭建笔记(Windows 日志收集)

3.2 配置

编辑文件【winlogbeat.conf】,设置日志收集参数、转发服务器参数等。

C:\Program Files\winlogbeat\winlogbeat.yml

# The supported keys are name (required), tags, fields, fields_under_root,

# forwarded, ignore_older, level, event_id, provider, and include_xml. Please

# visit the documentation for the complete details of each option.

# https://go.es.io/WinlogbeatConfig

# 收集三类日志:Application/Security/System,72小时前的日志忽略。以下默认,无需修改

winlogbeat.event_logs:

- name: Application

ignore_older: 72h

- name: Security

- name: System

 

# 注释所有Elasticsearch相关的配置参数

#-------------------------- Elasticsearch output ------------------------------

#output.elasticsearch:

# Array of hosts to connect to.

#hosts: ["localhost:9200"]

# Optional protocol and basic auth credentials.

#protocol: "https"

#username: "elastic"

#password: "changeme"

 

# 配置Logstash相关参数,默认只需要配置hosts

#----------------------------- Logstash output --------------------------------

output.logstash:

# The Logstash hosts

hosts: ["1.1.1.1:5044"]

其中1.1.1.1时远程logstash服务器的IP地址,实际部署时请设置为正确的IP参数。

请确保防火墙策略允许Windows AD服务器能够访问到logstash服务器IP的TCP5044端口。

3.3 安装

启动powershell工作台:

切换到【C:\Program Files\winlogbeat\】

执行命令【.\install-service-winlogbeat.ps1】安装服务。


我的ELK搭建笔记(Windows 日志收集)

 

3.4 启动

命令行执行【net start winlogbeat】;

启动日志收集代理服务。

 


我的ELK搭建笔记(Windows 日志收集)

四,验证

本地确认winlogbeat服务工作正常 程序自身日志正常 远程logstash工作正常 Kibana能搜索到Windows日志

 


我的ELK搭建笔记(Windows 日志收集)

五,性能

在没有日志产生的情况下,winlogbeat进程工作内存9M,有日志产生的情况下,小于100M内存。


我的ELK搭建笔记(Windows 日志收集)

 

六,维护

Windows Service维护

;启动服务

net start winlogbeat

;停止服务

net stop winlogbeat

;卸载服务

powershell "C:\Program Files\winlogbeat\uninstall-service-winlogbeat.ps1"

七,Troubleshooting

某些Windows Server服务器默认是禁止启用powershell的,因此安装过程可能会遇到如下问题。

无法加载文件 C:\Program Files\winlogbeat\install-service-winlogbeat.ps1,因为在此系统中禁止执行脚本。有关详细信息,请参阅 "get-help about_signing"。

所在位置 行:1 字符: 33

+ .\install-service-winlogbeat.ps1 <<<<

+ CategoryInfo : NotSpecified: (:) [], PSSecurityException

+ FullyQualifiedErrorId : RuntimeException

针对该异常情况,建议:

临时降低powershell执行检查要求,允许执行非签名的shell文件 安装部署winlogbeat 还原powershell执行安全配置

在powershell中全流程操作如下:

PS C:\Users\Administrator> cd "C:\Program Files\winlogbeat"

PS C:\Program Files\winlogbeat> set-executionpolicy remotesigned

PS C:\Program Files\winlogbeat> .\install-service-winlogbeat.ps1

PS C:\Program Files\winlogbeat> net start winlogbeat

PS C:\Program Files\winlogbeat> set-executionpolicy restricted


我的ELK搭建笔记(Windows 日志收集)

 


我的ELK搭建笔记(Windows 日志收集)

__ !!! 重 要 声 明 !!! __

唯品会安全应急响应中心VSRC(官网:https://sec.vip.com/)是唯一接收唯品会安全漏洞的平台,唯品会从未授予任何第三方机构或个人接收唯品会相关安全漏洞,任何个人或机构若在第三方平台提交唯品会相关安全漏洞,一切后果自负。

且在必要情况下,我们将会以相关法律手段予以处理,若有任何问题,请随时联系我们。

本文web安全相关术语:黑盒测试方法 黑盒测试和白盒测试 网站安全检测 360网站安全检测 网络安全知识 网络安全技术 网络信息安全 网络安全工程师

tags: winlogbeat,日志,Windows,Program,Files,gt,powershell,logstash,唯品,Elasticsearch,name,install,lt
分页:12
转载请注明
本文标题:我的ELK搭建笔记(Windows 日志收集)
本站链接:http://www.codesec.net/view/533400.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | web安全 | 评论(0) | 阅读(825)