Configurer Winlogbeat

pitieu · July 31, 2017, 9:09am

Bonjour,
Je souhaiterai récupérer des logs de mes serveurs windows mais je ne comprends pas comment configurer côté Windows et côté elastic.
Pouvez-vous m'éclairer sur ces 2 points?
Merci de votre aide.
Matthieu.

dadoonet · July 31, 2017, 10:28am

Pour faire simple:

installe et démarre elasticsearch
installe filebeat ou winlogbeat sur ton server windows et configure le pour qu'il communique avec ton serveur elasticsearch.

pitieu · July 31, 2017, 10:47am

Bonjour
Tout ça c'est fait, justement c'est la configuration du fichier XML sur lequel je souhaiterais avoir plus d'informations.
Merci

dadoonet · July 31, 2017, 1:20pm

Quel fichier XML?

pitieu · July 31, 2017, 2:34pm

Le fichier de winlogbeats

dadoonet · July 31, 2017, 5:56pm

Je ne vois pas de fichier XML. https://www.elastic.co/guide/en/beats/winlogbeat/current/configuring-howto-filebeat.html

Tu peux partager ton fichier en question et ce que tu as fait jusqu'ici, les messages d'erreurs éventuels, ...

pitieu · August 1, 2017, 7:31am

Autant pour moi c'est un fichier yml

dadoonet · August 1, 2017, 9:52am

Je m'en doutais.

Il n'empêche qu'il serait bien que tu donnes plus d'informations si tu veux de l'aide.

Tu peux partager ton fichier en question et ce que tu as fait jusqu’ici, les messages d’erreurs éventuels, …

pitieu · August 1, 2017, 2:43pm

Donc j'ai installé winlogbeat sur mon serveur le service est bien démarré dans mon fichier yml voici ce que j'ai mis:

winlogbeat.event_logs:
  - name: Application
    ignore_older: 72h
  - name: Security
    level: critical, error, warning
  - name: System
  - name: Microsoft-Windows-Dhcp-Server/FilterNotifications
  - name: Microsoft-Windows-Windows Defender/Operational
    include_xml: true

#-------------------------- Elasticsearch output ------------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["192.168.1.5:9200"]

J'ai rien fait côté elasticsearch. Est ce qu'il a quelque chose à faire? Car je n'ai pas de logs à remonter dans elasticsearch.
Merci.

dadoonet · August 1, 2017, 3:48pm

J'ai mis à jour ton post pour le rendre lisible.

Tu dois vérifier que depuis la machine où tourne winlogbeat tu peux bien accéder à 192.168.1.5:9200:

curl 192.168.1.5:9200

Je pense que ce n'est pas le cas si tu n'as pas touché la configuration elasticsearch car par défaut, elasticsearch n'écoute que sur localhost:9200. Il faut modifier network.host dans config/elasticsearch.yml.

Si ça ne démarre pas (probable), lis alors : https://www.elastic.co/guide/en/elasticsearch/reference/current/bootstrap-checks.html

pitieu · August 10, 2017, 8:24am

Merci pour les infos par contre j'ai des messages d'erreur de logstash:

août 10 09:10:00 elasticstack logstash[682]: ERROR StatusLogger No log4j2 configuration file found. Using default configuration: logging only errors to the console.
août 10 09:10:03 elasticstack logstash[682]: Sending Logstash's logs to /var/log/logstash which is now configured via log4j2.properties

Est ce que vous auriez solution car je n'ai rien trouvé sur le forum?
Merci

dadoonet · August 10, 2017, 8:54am

J'ai encore mis à jour ton post. Je te remercie de faire attention à bien formatter ce que tu envoies.

No log4j2 configuration file found

Semble indiquer une configuration un peu particulière que celle par défaut.

Je ne sais pas comment cela peut arriver. Peut-être que @colinsurprenant a déjà vu ça...

pitieu · August 10, 2017, 9:37am

oui désolé je débute sur le forum donc le temps que je m'habitue aux règles. J'utilise la version 5.5.0 de logstash c'est peut-être du à cette version.

system · September 7, 2017, 12:44pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.