jpolisher's IT-wiki

User Tools

Site Tools

Trace: active_directory_certificate_services windows_admin_center
windows_event_log_в_graylog

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
windows_event_log_в_graylog [2024/12/20 09:33] jpwindows_event_log_в_graylog [2024/12/20 13:19] (current) jp
Line 1: Line 1:
 ===== Windows Event Log в Graylog ===== ===== Windows Event Log в Graylog =====
  
-Общая последовательность действий следующая. +Общая последовательность действий настройки Graylog для мониторинга событий Windows следующая. 
  
-1. На сервере Graylog [[конфигурируем Input]], чтобы сервер мог принимать подключения по TCP.+1. На сервере Graylog [[конфигурируем Input]], чтобы сервер мог принимать подключения по TCP на нужном нам порту.
  
-2. В разделе //System/Sidecars// создаем новый //Log Collector//. Коллектор логов будет содержать шаблон для наших конфигураций. В плане структуры конфигурации можно ориентироваться на стандартный шаблон для Windows с именем //winlogbeat//, содержащий по умолчанию директиву, предотвращающую обработку логов старше 96 часов: //ignore_older: 96h//.+2. В разделе //System/Sidecars// создаем новый //Log Collector//. Коллектор логов будет содержать шаблон для наших конфигураций. В плане структуры конфигурации можно ориентироваться на стандартный шаблон для Windows с именем //winlogbeat//, содержащий по умолчанию полезную директиву, предотвращающую обработку логов старше 96 часов: //ignore_older: 96h//.
  
-Если нам требуется мониторить какие-либо расширенные или более конкретные разделы логов - необходимо получить их имена. Имена для всех логов конкретной ОС Windows легко можно получить с помощью PS-команды:+Если нам требуется мониторить какие-либо расширенные или просто более конкретные разделы логов - необходимо получить их имена. Имена для всех логов конкретной ОС Windows легко можно получить с помощью PS-команды:
  
    Get-WinEvent -ListLog * | Format-List -Property LogName    Get-WinEvent -ListLog * | Format-List -Property LogName
Line 18: Line 18:
 </WRAP> </WRAP>
  
-Пример конфига коллектора для сбора стандартных логов application, security, system + всех разделов логов Microsoft Exchange:+Пример конфига коллектора для сбора стандартных логов //application////security////system// + всех разделов логов Microsoft Exchange:
  
 <WRAP prewrap> <WRAP prewrap>
Line 175: Line 175:
 </WRAP> </WRAP>
  
-Ознакомиться подробнее с принципами конфигурирования winlogbeat можно по следующей ссылке:+Ознакомиться подробнее с принципами конфигурирования //winlogbeat// можно по следующей ссылке:
  
 https://www.elastic.co/guide/en/beats/winlogbeat/current/configuration-winlogbeat-options.html https://www.elastic.co/guide/en/beats/winlogbeat/current/configuration-winlogbeat-options.html
  
 3. После создания коллектора логов, содержащего шаблон, можно создать конфигурацию из данного коллектора. Именно конкретная конфигурация присваивается определенному клиенту (sidecar).  3. После создания коллектора логов, содержащего шаблон, можно создать конфигурацию из данного коллектора. Именно конкретная конфигурация присваивается определенному клиенту (sidecar). 
 +
 +Общая схема настроек на скриншоте.
 +
 +;#;
 +{{:wiki:graylog_config_sidecars.jpg?|}}
 +;#;
 +
 +4. Теперь нам необходимо завести клиента (и его токен), который будет заниматься сбором логов как показано ниже. 
 +
 +;#;
 +{{::graylog_add_sidecar_token.jpg|}}
 +;#;
 +
 +В //token name// пропишем имя нашего клиента и далее нажмём //create token//. Запишем сгенерированный токен - он потребуется нам во время установки sidecar на клиентской системе. 
 +
 +5. Теперь мы можем устанавливать клиента. Качаем клиента отсюда: https://github.com/Graylog2/collector-sidecar/releases
 +
 +При установке нам необходимо указать URL API Graylog, его имя (как в //token name//), а также, собственно, сам токен. Пример:
 +
 +;#;
 +{{:wiki:sidecar_settings.jpg?600|}}
 +;#;
 +
 +6. Устанавливаем связь между созданной нами конфигурации и заведенным клиентом через раздел //Administration// в //System/Sidecars//, подтверждая назначение конфигурации. 
 +
 +;#;
 +{{:wiki:graylog_sidecar_assign_conf.jpg|}}
 +;#;
 +
 +7. Перейдя в раздел //overview// - можем убедиться в статусе нашего клиента. 
 +
 +8. Если на наших созданных клиентах много релевантных логов и с передачей всё хорошо - скорее всего увидим изменения в счётчике логов в правой верхней области Graylog. 
 +
 +;#;
 +{{:wiki:graylog_counter_logs.jpg?600|}}
 +;#;
 +
 +9. Чтобы искать какие-либо события - воспользуемся поиском в разделе //Search//, установив какой-нибудь временной интервал, или написав запрос. К примеру:
 +
 +   source:server_name
 +;#;
 +{{:wiki:graylog_search_example.jpg|}}
 +;#;
 +
 +{{tag>Graylog Exchange Microsoft Windows PowerShell}}
windows_event_log_в_graylog.1734687207.txt.gz · Last modified: 2024/12/20 09:33 by jp