Configurer Winlogbeat


#1

Bonjour,
Je souhaiterai récupérer des logs de mes serveurs windows mais je ne comprends pas comment configurer côté Windows et côté elastic.
Pouvez-vous m'éclairer sur ces 2 points?
Merci de votre aide.
Matthieu.


(David Pilato) #2

Pour faire simple:

  • installe et démarre elasticsearch
  • installe filebeat ou winlogbeat sur ton server windows et configure le pour qu'il communique avec ton serveur elasticsearch.

#3

Bonjour
Tout ça c'est fait, justement c'est la configuration du fichier XML sur lequel je souhaiterais avoir plus d'informations.
Merci


(David Pilato) #4

Quel fichier XML?


#5

Le fichier de winlogbeats


(David Pilato) #6

Je ne vois pas de fichier XML. https://www.elastic.co/guide/en/beats/winlogbeat/current/configuring-howto-filebeat.html

Tu peux partager ton fichier en question et ce que tu as fait jusqu'ici, les messages d'erreurs éventuels, ...


#7

Autant pour moi c'est un fichier yml


(David Pilato) #8

Je m'en doutais.

Il n'empêche qu'il serait bien que tu donnes plus d'informations si tu veux de l'aide.

Tu peux partager ton fichier en question et ce que tu as fait jusqu’ici, les messages d’erreurs éventuels, …


#9

Donc j'ai installé winlogbeat sur mon serveur le service est bien démarré dans mon fichier yml voici ce que j'ai mis:

winlogbeat.event_logs:
  - name: Application
    ignore_older: 72h
  - name: Security
    level: critical, error, warning
  - name: System
  - name: Microsoft-Windows-Dhcp-Server/FilterNotifications
  - name: Microsoft-Windows-Windows Defender/Operational
    include_xml: true

#-------------------------- Elasticsearch output ------------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["192.168.1.5:9200"]

J'ai rien fait côté elasticsearch. Est ce qu'il a quelque chose à faire? Car je n'ai pas de logs à remonter dans elasticsearch.
Merci.


(David Pilato) #10

J'ai mis à jour ton post pour le rendre lisible.

Tu dois vérifier que depuis la machine où tourne winlogbeat tu peux bien accéder à 192.168.1.5:9200:

curl 192.168.1.5:9200

Je pense que ce n'est pas le cas si tu n'as pas touché la configuration elasticsearch car par défaut, elasticsearch n'écoute que sur localhost:9200. Il faut modifier network.host dans config/elasticsearch.yml.

Si ça ne démarre pas (probable), lis alors : https://www.elastic.co/guide/en/elasticsearch/reference/current/bootstrap-checks.html


#11

Merci pour les infos par contre j'ai des messages d'erreur de logstash:

août 10 09:10:00 elasticstack logstash[682]: ERROR StatusLogger No log4j2 configuration file found. Using default configuration: logging only errors to the console.
août 10 09:10:03 elasticstack logstash[682]: Sending Logstash's logs to /var/log/logstash which is now configured via log4j2.properties

Est ce que vous auriez solution car je n'ai rien trouvé sur le forum?
Merci


(David Pilato) #12

J'ai encore mis à jour ton post. Je te remercie de faire attention à bien formatter ce que tu envoies.

No log4j2 configuration file found 

Semble indiquer une configuration un peu particulière que celle par défaut.

Je ne sais pas comment cela peut arriver. Peut-être que @colinsurprenant a déjà vu ça...


#13

oui désolé je débute sur le forum donc le temps que je m'habitue aux règles. J'utilise la version 5.5.0 de logstash c'est peut-être du à cette version.


(system) #15

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.