Bonjour,
Je souhaiterai récupérer des logs de mes serveurs windows mais je ne comprends pas comment configurer côté Windows et côté elastic.
Pouvez-vous m'éclairer sur ces 2 points?
Merci de votre aide.
Matthieu.
Pour faire simple:
- installe et démarre elasticsearch
- installe filebeat ou winlogbeat sur ton server windows et configure le pour qu'il communique avec ton serveur elasticsearch.
Bonjour
Tout ça c'est fait, justement c'est la configuration du fichier XML sur lequel je souhaiterais avoir plus d'informations.
Merci
Quel fichier XML?
Le fichier de winlogbeats
Je ne vois pas de fichier XML. https://www.elastic.co/guide/en/beats/winlogbeat/current/configuring-howto-filebeat.html
Tu peux partager ton fichier en question et ce que tu as fait jusqu'ici, les messages d'erreurs éventuels, ...
Autant pour moi c'est un fichier yml
Je m'en doutais.
Il n'empêche qu'il serait bien que tu donnes plus d'informations si tu veux de l'aide.
Tu peux partager ton fichier en question et ce que tu as fait jusqu’ici, les messages d’erreurs éventuels, …
Donc j'ai installé winlogbeat sur mon serveur le service est bien démarré dans mon fichier yml voici ce que j'ai mis:
winlogbeat.event_logs:
- name: Application
ignore_older: 72h
- name: Security
level: critical, error, warning
- name: System
- name: Microsoft-Windows-Dhcp-Server/FilterNotifications
- name: Microsoft-Windows-Windows Defender/Operational
include_xml: true
#-------------------------- Elasticsearch output ------------------------------
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["192.168.1.5:9200"]
J'ai rien fait côté elasticsearch. Est ce qu'il a quelque chose à faire? Car je n'ai pas de logs à remonter dans elasticsearch.
Merci.
J'ai mis à jour ton post pour le rendre lisible.
Tu dois vérifier que depuis la machine où tourne winlogbeat tu peux bien accéder à 192.168.1.5:9200:
curl 192.168.1.5:9200
Je pense que ce n'est pas le cas si tu n'as pas touché la configuration elasticsearch car par défaut, elasticsearch n'écoute que sur localhost:9200
. Il faut modifier network.host
dans config/elasticsearch.yml
.
Si ça ne démarre pas (probable), lis alors : https://www.elastic.co/guide/en/elasticsearch/reference/current/bootstrap-checks.html
Merci pour les infos par contre j'ai des messages d'erreur de logstash:
août 10 09:10:00 elasticstack logstash[682]: ERROR StatusLogger No log4j2 configuration file found. Using default configuration: logging only errors to the console.
août 10 09:10:03 elasticstack logstash[682]: Sending Logstash's logs to /var/log/logstash which is now configured via log4j2.properties
Est ce que vous auriez solution car je n'ai rien trouvé sur le forum?
Merci
J'ai encore mis à jour ton post. Je te remercie de faire attention à bien formatter ce que tu envoies.
No log4j2 configuration file found
Semble indiquer une configuration un peu particulière que celle par défaut.
Je ne sais pas comment cela peut arriver. Peut-être que @colinsurprenant a déjà vu ça...
oui désolé je débute sur le forum donc le temps que je m'habitue aux règles. J'utilise la version 5.5.0 de logstash c'est peut-être du à cette version.
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.