jpolisher's IT-wiki

User Tools

Site Tools

Trace: active_directory_certificate_services windows_admin_center
windows_event_log_в_graylog

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
windows_event_log_в_graylog [2024/12/20 10:05] jpwindows_event_log_в_graylog [2024/12/20 13:19] (current) jp
Line 1: Line 1:
 ===== Windows Event Log в Graylog ===== ===== Windows Event Log в Graylog =====
  
-Общая последовательность действий следующая. +Общая последовательность действий настройки Graylog для мониторинга событий Windows следующая. 
  
-1. На сервере Graylog [[конфигурируем Input]], чтобы сервер мог принимать подключения по TCP.+1. На сервере Graylog [[конфигурируем Input]], чтобы сервер мог принимать подключения по TCP на нужном нам порту.
  
-2. В разделе //System/Sidecars// создаем новый //Log Collector//. Коллектор логов будет содержать шаблон для наших конфигураций. В плане структуры конфигурации можно ориентироваться на стандартный шаблон для Windows с именем //winlogbeat//, содержащий по умолчанию директиву, предотвращающую обработку логов старше 96 часов: //ignore_older: 96h//.+2. В разделе //System/Sidecars// создаем новый //Log Collector//. Коллектор логов будет содержать шаблон для наших конфигураций. В плане структуры конфигурации можно ориентироваться на стандартный шаблон для Windows с именем //winlogbeat//, содержащий по умолчанию полезную директиву, предотвращающую обработку логов старше 96 часов: //ignore_older: 96h//.
  
-Если нам требуется мониторить какие-либо расширенные или более конкретные разделы логов - необходимо получить их имена. Имена для всех логов конкретной ОС Windows легко можно получить с помощью PS-команды:+Если нам требуется мониторить какие-либо расширенные или просто более конкретные разделы логов - необходимо получить их имена. Имена для всех логов конкретной ОС Windows легко можно получить с помощью PS-команды:
  
    Get-WinEvent -ListLog * | Format-List -Property LogName    Get-WinEvent -ListLog * | Format-List -Property LogName
Line 18: Line 18:
 </WRAP> </WRAP>
  
-Пример конфига коллектора для сбора стандартных логов application, security, system + всех разделов логов Microsoft Exchange:+Пример конфига коллектора для сбора стандартных логов //application////security////system// + всех разделов логов Microsoft Exchange:
  
 <WRAP prewrap> <WRAP prewrap>
Line 175: Line 175:
 </WRAP> </WRAP>
  
-Ознакомиться подробнее с принципами конфигурирования winlogbeat можно по следующей ссылке:+Ознакомиться подробнее с принципами конфигурирования //winlogbeat// можно по следующей ссылке:
  
 https://www.elastic.co/guide/en/beats/winlogbeat/current/configuration-winlogbeat-options.html https://www.elastic.co/guide/en/beats/winlogbeat/current/configuration-winlogbeat-options.html
Line 217: Line 217:
 ;#; ;#;
  
-9. Чтобы искать какие-либо события - воспользуемся поиском в разделе //Search//, установив какой-нибудь временной интервал, или написав какой-либо запрос. К примеру:+9. Чтобы искать какие-либо события - воспользуемся поиском в разделе //Search//, установив какой-нибудь временной интервал, или написав запрос. К примеру:
  
    source:server_name    source:server_name
Line 224: Line 224:
 ;#; ;#;
  
 +{{tag>Graylog Exchange Microsoft Windows PowerShell}}
windows_event_log_в_graylog.1734689122.txt.gz · Last modified: 2024/12/20 10:05 by jp