Coletando logs do Windows com Elastic Stack

Elastic Stack isso é Elasticsearch, Kibana, Beats e Logstash (também conhecido como ELK Stack)

O Elasticsearch é um mecanismo de análise de dados e o Kibana é uma interface de usuário. O Logstash permite fazer a ingestão, transformação e a geração de saída de dados.

Vamos explorar o básico para instalação e execução da “stack”:

  • Elasticsearch – Analise de dados
  • Logstash – Transforma os dados
  • Kibana – Interface

Integrações

Você pode usar recursos como o Elastic Agent, o Beats ou o rastreador da Web para ingerir dados das aplicações, da infraestrutura e das fontes de conteúdo público. O Beats é uma plataforma gratuita e aberta para agentes de dados de finalidade única. Eles enviam dados de centenas ou milhares de computadores e sistemas para o Logstash ou o Elasticsearch.

Download

Executando o Elasticseach no Windows

Basta descompactar o binário em uma pasta de sua preferencia.
Atenção defina a variável de ambiente PATH para apontar para a pasta BIN, tanto do Elasticsearch como do Kitana

Executar o prompt como administrador:

Modifique o elasticsearch.yml na pasta config para adicionar as seguintes linhas:

  • xpack.security.enabled: true
  • xpack.security.authc.api_key.enabled: true

Para definir a senha execute:

bin/elasticsearch-setup-passwords interactive

Execute o comando bin\elasticsearch.bat

No browser use a url https://localhost:9200

  • user:elastic
  • password: A senha que vc definiu acima.

Apareceu essa informação é sinal que está em execução.

Executando Kibana

Basta descompactar o conteúdo e editar o arquivo kibana.yml e adicionar:

  • elasticsearch.username: elastic
  • elasticsearch.password: A senha que vc definiu acima.

Execute como administrador o comando bin\kibana.bat
No browser use a url https://localhost:5601

Coletando logs do Windows

Baixe o Winlogbeat https://www.elastic.co/pt/downloads/beats/winlogbeat

Edit o winlogbeat.yml e na sessão “Elasticsearch Output ” tire o símbolo (#) de comentário do:

user:elastic
password: A senha que vc definiu acima.

Ei peguei um erro “Exiting: error loading config file: yaml: line 157: did not find expected key” e descobri que é por conta dos espaços. Por isso mantenha a estrutura correta.

Usando o powershell como administrador teste o arquivo:

.\winlogbeat.exe -c .\winlogbeat.yml -e

Instale o winlogbeat no Kibana usando o comando:

.\winlogbeat.exe setup -e

No Kibana, no menu em Analytics basta ir em Discover e adicione o winlogbeats-* como filtro e no “Dashboard” para consultar e explore os dashboards existentes por padrão no sistema.

Referencia:
https://www.elastic.co/guide/en/beats/winlogbeat/current/winlogbeat-installation-configuration.html
https://www.elastic.co/guide/en/beats/winlogbeat/current/privileges-to-setup-beats.html


Anúncio

Sobre Daniel Donda 549 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*