Differences

This shows you the differences between two versions of the page.

--- windows_event_log_в_graylog [2024/12/20 09:40] – jp
+++ windows_event_log_в_graylog [2024/12/20 13:19] (current) – jp
@@ Line 1: / Line 1: @@
 ===== Windows Event Log в Graylog =====
-Общая последовательность действий следующая.
+Общая последовательность действий настройки Graylog для мониторинга событий Windows следующая.
-. На сервере Graylog [[конфигурируем Input]], чтобы сервер мог принимать подключения по TCP.
+. На сервере Graylog [[конфигурируем Input]], чтобы сервер мог принимать подключения по TCP на нужном нам порту.
-. В разделе //System/Sidecars// создаем новый //Log Collector//. Коллектор логов будет содержать шаблон для наших конфигураций. В плане структуры конфигурации можно ориентироваться на стандартный шаблон для Windows с именем //winlogbeat//, содержащий по умолчанию директиву, предотвращающую обработку логов старше 96 часов: //ignore_older: 96h//.
+. В разделе //System/Sidecars// создаем новый //Log Collector//. Коллектор логов будет содержать шаблон для наших конфигураций. В плане структуры конфигурации можно ориентироваться на стандартный шаблон для Windows с именем //winlogbeat//, содержащий по умолчанию полезную директиву, предотвращающую обработку логов старше 96 часов: //ignore_older: 96h//.
-Если нам требуется мониторить какие-либо расширенные или более конкретные разделы логов - необходимо получить их имена. Имена для всех логов конкретной ОС Windows легко можно получить с помощью PS-команды:
+Если нам требуется мониторить какие-либо расширенные или просто более конкретные разделы логов - необходимо получить их имена. Имена для всех логов конкретной ОС Windows легко можно получить с помощью PS-команды:
    Get-WinEvent -ListLog * | Format-List -Property LogName
@@ Line 18: / Line 18: @@
 </WRAP>
-Пример конфига коллектора для сбора стандартных логов application, security, system + всех разделов логов Microsoft Exchange:
+Пример конфига коллектора для сбора стандартных логов //application//, //security//, //system// + всех разделов логов Microsoft Exchange:
 <WRAP prewrap>
@@ Line 175: / Line 175: @@
 </WRAP>
-Ознакомиться подробнее с принципами конфигурирования winlogbeat можно по следующей ссылке:
+Ознакомиться подробнее с принципами конфигурирования //winlogbeat// можно по следующей ссылке:
 https://www.elastic.co/guide/en/beats/winlogbeat/current/configuration-winlogbeat-options.html
@@ Line 187: / Line 187: @@
 ;#;
-. Теперь нам необходимо завести клиента (и его токен), который будет заниматься сбором логов.
+. Теперь нам необходимо завести клиента (и его токен), который будет заниматься сбором логов как показано ниже.
+;#;
+{{::graylog_add_sidecar_token.jpg|}}
+;#;
+В //token name// пропишем имя нашего клиента и далее нажмём //create token//. Запишем сгенерированный токен - он потребуется нам во время установки sidecar на клиентской системе.
+. Теперь мы можем устанавливать клиента. Качаем клиента отсюда: https://github.com/Graylog2/collector-sidecar/releases
+При установке нам необходимо указать URL API Graylog, его имя (как в //token name//), а также, собственно, сам токен. Пример:
+;#;
+{{:wiki:sidecar_settings.jpg?600|}}
+;#;
+. Устанавливаем связь между созданной нами конфигурации и заведенным клиентом через раздел //Administration// в //System/Sidecars//, подтверждая назначение конфигурации.
+;#;
+{{:wiki:graylog_sidecar_assign_conf.jpg|}}
+;#;
+. Перейдя в раздел //overview// - можем убедиться в статусе нашего клиента.
+. Если на наших созданных клиентах много релевантных логов и с передачей всё хорошо - скорее всего увидим изменения в счётчике логов в правой верхней области Graylog.
+;#;
+{{:wiki:graylog_counter_logs.jpg?600|}}
+;#;
+. Чтобы искать какие-либо события - воспользуемся поиском в разделе //Search//, установив какой-нибудь временной интервал, или написав запрос. К примеру:
+   source:server_name
+;#;
+{{:wiki:graylog_search_example.jpg|}}
+;#;
+{{tag>Graylog Exchange Microsoft Windows PowerShell}}