User Tools

Site Tools


windows_event_log_в_graylog

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
windows_event_log_в_graylog [2024/12/20 09:51] jpwindows_event_log_в_graylog [2024/12/20 13:19] (current) jp
Line 1: Line 1:
 ===== Windows Event Log в Graylog ===== ===== Windows Event Log в Graylog =====
  
-Общая последовательность действий следующая. +Общая последовательность действий настройки Graylog для мониторинга событий Windows следующая. 
  
-1. На сервере Graylog [[конфигурируем Input]], чтобы сервер мог принимать подключения по TCP.+1. На сервере Graylog [[конфигурируем Input]], чтобы сервер мог принимать подключения по TCP на нужном нам порту.
  
-2. В разделе //System/Sidecars// создаем новый //Log Collector//. Коллектор логов будет содержать шаблон для наших конфигураций. В плане структуры конфигурации можно ориентироваться на стандартный шаблон для Windows с именем //winlogbeat//, содержащий по умолчанию директиву, предотвращающую обработку логов старше 96 часов: //ignore_older: 96h//.+2. В разделе //System/Sidecars// создаем новый //Log Collector//. Коллектор логов будет содержать шаблон для наших конфигураций. В плане структуры конфигурации можно ориентироваться на стандартный шаблон для Windows с именем //winlogbeat//, содержащий по умолчанию полезную директиву, предотвращающую обработку логов старше 96 часов: //ignore_older: 96h//.
  
-Если нам требуется мониторить какие-либо расширенные или более конкретные разделы логов - необходимо получить их имена. Имена для всех логов конкретной ОС Windows легко можно получить с помощью PS-команды:+Если нам требуется мониторить какие-либо расширенные или просто более конкретные разделы логов - необходимо получить их имена. Имена для всех логов конкретной ОС Windows легко можно получить с помощью PS-команды:
  
    Get-WinEvent -ListLog * | Format-List -Property LogName    Get-WinEvent -ListLog * | Format-List -Property LogName
Line 18: Line 18:
 </WRAP> </WRAP>
  
-Пример конфига коллектора для сбора стандартных логов application, security, system + всех разделов логов Microsoft Exchange:+Пример конфига коллектора для сбора стандартных логов //application////security////system// + всех разделов логов Microsoft Exchange:
  
 <WRAP prewrap> <WRAP prewrap>
Line 175: Line 175:
 </WRAP> </WRAP>
  
-Ознакомиться подробнее с принципами конфигурирования winlogbeat можно по следующей ссылке:+Ознакомиться подробнее с принципами конфигурирования //winlogbeat// можно по следующей ссылке:
  
 https://www.elastic.co/guide/en/beats/winlogbeat/current/configuration-winlogbeat-options.html https://www.elastic.co/guide/en/beats/winlogbeat/current/configuration-winlogbeat-options.html
Line 203: Line 203:
 ;#; ;#;
  
 +6. Устанавливаем связь между созданной нами конфигурации и заведенным клиентом через раздел //Administration// в //System/Sidecars//, подтверждая назначение конфигурации. 
 +
 +;#;
 +{{:wiki:graylog_sidecar_assign_conf.jpg|}}
 +;#;
 +
 +7. Перейдя в раздел //overview// - можем убедиться в статусе нашего клиента. 
 +
 +8. Если на наших созданных клиентах много релевантных логов и с передачей всё хорошо - скорее всего увидим изменения в счётчике логов в правой верхней области Graylog. 
 +
 +;#;
 +{{:wiki:graylog_counter_logs.jpg?600|}}
 +;#;
 +
 +9. Чтобы искать какие-либо события - воспользуемся поиском в разделе //Search//, установив какой-нибудь временной интервал, или написав запрос. К примеру:
 +
 +   source:server_name
 +;#;
 +{{:wiki:graylog_search_example.jpg|}}
 +;#;
 +
 +{{tag>Graylog Exchange Microsoft Windows PowerShell}}
windows_event_log_в_graylog.1734688296.txt.gz · Last modified: 2024/12/20 09:51 by jp