Nous avons précédement vu comment installer Elastic SIEM Partie I et comment récupérer les logs de Switchs Cisco (Partie II) je décrierai ici comment surveiller des machines Windows.
Pour se faire nous installerons le module Winlogbeat sur chaque station Windows que l'on souhaite surveiller.
Winlogbeat fonctionne comme un agent qui collecte les informations du Windows surlequel il est installé puis les envoi vers le serveur Elasticsearch.
J'installerai Winlogbeat sur chaque machine que je souhaite monitorer dans Elasticsearch.
# =================================== Kibana ===================================
# Starting with Beats version 6.0.0, the dashboards are loaded via the Kibana API.
# This requires a Kibana endpoint configuration.
setup.kibana:
# Kibana Host
# Scheme and port can be left out and will be set to the default (http and 5601)
# In case you specify and additional path, the scheme is required: http://localhost:5601/path
# IPv6 addresses should always be defined as: https://[2001:db8::1]:5601
host: "192.168.1.200:5601"
# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["192.168.1.200:9200"]
PS C:\> cd "C:\Program Files\winlogbeat"
PS C:\> .\winlogbeat.exe test config -c .\winlogbeat.yml
PS C:\> powershell -executionpolicy UnRestricted -file .\install-service-winlogbeat.ps1
PS C:\> .\winlogbeat.exe setup -e
PS C:\> Start-Service winlogbeat
Maintenant que nous avons des données dans nos indexes il est maintenant temps de créer un joli dashboard depuis kibana pour avoir une représentation graphique des logs envoyés par les serveurs.
Il y a quelques dashboard prédéfinie pour winlogbeat nous allons voir comment utiliser l'un d'entre eux.
Contact :