Перейти к содержимому

elk kibana

Как установить winlogbeat для elk kibana на windows server

Задача собрать логи с windows server с помощью winlogbeat. Качаем актуальную версию winlogbeat https://artifacts.elastic.co/downloads/beats/winlogbeat/winlogbeat-7.9.1-windows-x86_64.zip 

Распаковываем на сервер. переименовываем в winlogbeat. Копируем в C:\Program Files .

После этого запускаем установку

cd 'C:\Program Files\Winlogbeat'
.\install-service-winlogbeat.ps1

Проверяем что служба установилась Как установить winlogbeat для elk kibana на windows server

После этого правим конфиг

У меня так

winlogbeat.event_logs:
  - name: Application
    ignore_older: 72h

  - name: System

  - name: Security
    processors:
      - script:
          lang: javascript
          id: security
          file: ${path.home}/module/security/config/winlogbeat-security.js

  - name: Microsoft-Windows-Sysmon/Operational
    processors:
      - script:
          lang: javascript
          id: sysmon
          file: ${path.home}/module/sysmon/config/winlogbeat-sysmon.js

  - name: Windows PowerShell
    event_id: 400, 403, 600, 800
    processors:
      - script:
          lang: javascript
          id: powershell
          file: ${path.home}/module/powershell/config/winlogbeat-powershell.js

  - name: Microsoft-Windows-PowerShell/Operational
    event_id: 4103, 
Читать далее