Windows İstemci ve ELK Entegrasyonu

Duygu Ölmez - Apr 7 '22 - - Dev Community

Windows sistemlerin ELK'ya log gönderebilmesi için yapılması gereken işlemler aşağıdaki gibidir.

Adım 1 - Kurulum

  • Winlogbeat Windows zip dosyasını resmi indirme sayfasından indirin.
  • Zip dosyasının içeriğini C:\Program Files içine çıkarın.
  • winlogbeat- dizinini Winlogbeat olarak yeniden adlandırın.
  • Yönetici olarak bir PowerShell istemi açın (PowerShell simgesine sağ tıklayın ve Yönetici Olarak Çalıştır'ı seçin). Windows XP kullanıyorsanız, PowerShell'i indirip yüklemeniz gerekebilir.
  • Winlogbeat'i bir Windows hizmeti olarak kurmak için aşağıdaki komutları çalıştırın:
PS C:\Users\Administrator> cd 'C:\Program Files\Winlogbeat'
PS C:\Program Files\Winlogbeat> .\install-service-winlogbeat.ps1

Security warning
Run only scripts that you trust. While scripts from the internet can be useful,
this script can potentially harm your computer. If you trust this script, use
the Unblock-File cmdlet to allow the script to run without this warning message.
Do you want to run C:\Program Files\Winlogbeat\install-service-winlogbeat.ps1?
[D] Do not run  [R] Run once  [S] Suspend  [?] Help (default is "D"): R

Status   Name               DisplayName
------   ----               -----------
Stopped  winlogbeat         winlogbeat
Enter fullscreen mode Exit fullscreen mode

Sisteminizde betik çalıştırma devre dışı bırakılmışsa, betik dosyasının çalışmasına izin vermek için geçerli oturumda yetki vermek için aşağıdaki komutu çalıştırmanız gerekir.

 PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-winlogbeat.ps1

Adım 2 - Winlogbeat'i Yapılandırması

  • Winlogbeat yapılandırması, C:\Program Files\Winlogbeat içindeki winlogbeat.yml dosyasında bulunur.
  • event_logs bölümünde, izlemek istediğiniz olay günlüklerini belirtin. Varsayılan olarak Winlogbeat, uygulama, güvenlik ve sistem günlüklerini izleyecek şekilde ayarlanmıştır:
winlogbeat.event_logs:
  - name: Application
  - name: Security
  - name: System
Enter fullscreen mode Exit fullscreen mode

Adım 3 - Çıktıyı yapılandırın

  • Veriler dizine eklenmeden önce filtreleri çalıştırma seçeneğimiz olması için Logstash'a göndereceğiz.

Elasticsearch çıktı bloğunu ve Kibana bloğunun yoruma alınması gerekiyor.

...
...
#setup.kibana
...
...
# output.elasticsearch:
  # hosts: ["localhost:9200"]
  ...
  ...
  # pipeline: "winlogbeat-%{[agent.version]}-routing"
...
...
Enter fullscreen mode Exit fullscreen mode

Logstash bloğu ise aşağıdaki şekilde güncellenmelidir. Aşağıdaki sunucuya LOGSTACH_IP_ADRES ve LOGSTASH_PORT alanları doğru olarak yazılmalıdır.

...
...
output.logstash:
    hosts: ["LOGSTACH_IP_ADRES:LOGSTASH_PORT"]
    ...
    ...
Enter fullscreen mode Exit fullscreen mode

Adım 4 - Yapılandırmayı doğrulayın

Yapılandırma dosyasının doğru ayarlanıp ayarlanmadığını kontrol edelim.

PS C:\Program Files\Winlogbeat> .\winlogbeat.exe test config -c .\winlogbeat.yml -e
Enter fullscreen mode Exit fullscreen mode

Adım 5 - Winlogbeat Serisini Başlatma

  • Aşağıdaki komut çalıştırılarak servisi başlatın.
PS C:\Program Files\Winlogbeat> Start-Service winlogbeat
Enter fullscreen mode Exit fullscreen mode
  • Winlogbeat şimdi çalışıyor olmalıdır. Burada açıklanan yapılandırmayı kullandıysanız, günlük dosyasını C:\ProgramData\winlogbeat\Logs\winlogbeat konumunda görüntüleyebilirsiniz.
  • Windows'ta Hizmetler yönetim konsolundan hizmetin durumunu görüntüleyebilir ve kontrol edebilirsiniz. Yönetim konsolunu başlatmak için şu komutu çalıştırın:
PS C:\Program Files\Winlogbeat> services.msc
Enter fullscreen mode Exit fullscreen mode

Adım 6 - Winlogbeat Servisini Durdurma

Winlogbeat servisini aşağıdaki komutla durdurun:

PS C:\Program Files\Winlogbeat> Stop-Service winlogbeat
Enter fullscreen mode Exit fullscreen mode
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .