Elastic Stack İle Merkezi Log Yönetimine Giriş – 5 (Winlogbeat Kurulumu)

Merhabalar;

Bu yazımda 10.250.2.224 ip adresli Windows Server 2019  sunucusu üzerindeki windows event log’ları izleyebilmek için , sunucu üzerine winlogbeat’i kuracağız, logstash’e event’logların aktarılabilmesi için gerekli konfigurasyonu yapacağız ve winlogbeat’i servis olarak çalıştıracağız.

https://www.elastic.co/downloads/beats/winlogbeat adresinden winlogbeat’i sunucumuz üzerine download edelim ve unzip ederek C drive’ına taşıyalım

 

 

Winlogbeat klasörü içindeki dosyalar hakkında bir kaç not düşelim.

winlogbeat.yml dosyası temel konfig dosyasıdır ve içerisnde hangi windows eventlerini izlemesi gerektiğini ve bu logları ne kadar süre öncesine göre izlemesi gerektiği bilgisini gireriz. Ayrıca bu logları aktaracağı logstash’in bilgisini de bu dosya içersine gireriz.

winlogbeat.reference.yml dosyası bize full konfigurasyon örneği sunar.

install-service-winlogbeat.ps1 power shell script dosyası sayesinde winlogbeat’i servis olarak çalıştırırız.

Şimdi winlogbeat.yml konfig dosyası içindeki konfigleri yapalım. Bu konfige göre; windows eventlogları içindeki , Application, System , Security ve Micrososft-Windows-Sysmon log’larını izlemek istediğimizi belirtiyoruz. Aynı zamanda Application log’larının 72 saat’ten önceki logları ise ignore edeceğimizi belirtiyoruz ve bu logları 10.250.2.222 adresinde çalışan logstash’in 5043 portuna göndermek istediğimizi belirtiyoruz.

Artık install-service-winlogbeat.ps1 power shell scriptini çalıştırdığımızda winlogbeat servis olarak çalışmaya hazır hale gelecektir, winlogbeat servisini çalıştırdığımız anda log’ları logstash’e göndermeye başlayacaktır.

PS C:\winlogbeat-7.6.2-windows-x86_64\winlogbeat-7.6.2-windows-x86_64> .\install-service-winlogbeat.ps1

PS C:\winlogbeat-7.6.2-windows-x86_64\winlogbeat-7.6.2-windows-x86_64> Start-Service winlogbeat

Artık winlogbeat servis olarak çalışmaya başladı, task manager’dan da bunu teyit edebiliriz. Ancak şu an logstash tarafını konfigure etmediğmiz için event log’ları kendi üzerinde tutmaktadır. Logstash tarafını da konfigurasyon olarak tamamladığımız zaman loglar logstash’e başarılı bir şekilde aktarılaracaktır. Bir sonraki yazımda logstash tarafını konfigure ediyor olacağım….

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*